За 2025 год Центр противодействия кибератакам Solar JSOC выявил 1,16 млн событий информационной безопасности у примерно 300 организаций из ключевых отраслей экономики. Второе место среди типов инцидентов занимают попытки несанкционированного доступа – на них пришлось 23% случаев: злоумышленники активно подбирают пароли и эксплуатируют уязвимости систем аутентификации. Особую опасность представляет компрометация привилегированных учетных записей. По данным ГК «Солар», в 2025 году почти треть кибератак совершается через подрядчиков, которые получают легитимный доступ к критическим системам.

Когда злоумышленник или подрядчик действует под учётной записью сотрудника с повышенными правами, обычные средства защиты периметра его не видят – формально это администратор, выполняющий штатные операции. Единственный способ разобраться, что именно происходило внутри сессии, – иметь её запись. Поэтому системы класса PAM (Privileged Access Management) записывают действия привилегированных пользователей, а регуляторы всё чаще требуют хранить такие записи.

Дальше начинается инженерная развилка. Записывать сессию можно как видео экрана, а можно – как структурированные метаданные: сырые данные протокола. Первый путь даёт привычную «картинку», но требует терабайтов хранилища и плохо ищется. Второй занимает минимум места и мгновенно ищется по командам, но требует другой архитектуры и имеет ограничения для чисто графических интерфейсов (например, сложнее восстановить визуальный контекст, если пользователь не вводил команды). В Solar SafeInspect реализован второй подход. Вместе с бизнес-архитектором ГК «Солар» Антоном Залесским разбираемся, как это устроено и почему формат хранения напрямую влияет на скорость расследования и соответствие требованиям регуляторов.

Зачем организациям записывать привилегированные сессии

Администраторы, DevOps-инженеры и подрядчики с повышенными правами ежедневно подключаются к критически значимым системам по RDP, SSH и другим протоколам. Каждое такое подключение несёт риск: ошибочная команда, несанкционированное копирование данных или целенаправленная атака. Опасность привилегированного доступа в том, что злоупотребление им сложно отличить от нормальной работы. Рост числа кибератак через подрядчиков стал одним из ключевых трендов 2025 года.

Эксперты ГК «Солар» отмечают, что незначительная часть таких атак начинается с компрометации привилегированных учётных записей подрядчиков – именно поэтому контроль привилегированного доступа становится первой линией защиты, а не дополнительной опцией. Внешний злоумышленник тоже целенаправленно охотится за привилегированными учётными записями – они открывают прямой доступ к критическим системам, позволяют перемещаться по инфраструктуре незамеченным и, в отличие от обычного пользователя, дают возможность заметать следы: удалять логи, отключать средства защиты, менять конфигурации.

Запись действий привилегированных пользователей – это то, что превращает подозрение в доказательство. Например, Politico сообщило, что и.о. директора Агентства по кибербезопасности и защите инфраструктуры США (CISA) Мадху Готтумуккала загрузил не менее четырёх служебных документов с пометкой «for official use only» в публичную версию ChatGPT – это произошло в июле – августе 2025 года, несмотря на то что остальным сотрудникам DHS доступ к сервису был закрыт. Автоматические системы мониторинга зафиксировали загрузки и сформировали предупреждения, после чего Министерство внутренней безопасности инициировало внутреннее расследование. Без зафиксированного следа этот инцидент остался бы незамеченным – именно системы логирования, а не периметровая защита, позволили его обнаружить.

Что требуют регуляторы и почему одной видеозаписи мало

В России записывать и хранить действия привилегированных пользователей требует сразу несколько регуляторов, и каждый смотрит на свой аспект. Приказы ФСТЭК №117 (для государственных информационных систем) и №21 (для информационных систем персональных данных) предписывают идентифицировать и аутентифицировать пользователей, управлять доступом, регистрировать события безопасности и контролировать целостность информации. На языке PAM это означает: действия администраторов нужно записывать, хранить с защитой от изменения и сохранять возможность последующего анализа. Федеральный закон №187 распространяет схожие требования на субъектов критической информационной инфраструктуры (КИИ) – для них мониторинг действий администраторов и хранение событий безопасности обязательны.

При этом приказ №21 ФСТЭК устанавливает минимальный срок хранения событий безопасности – не менее трёх месяцев. Но для КИИ конкретный срок нормативно не закреплён: субъект определяет его самостоятельно. На практике мы рекомендуем хранить метаданные минимум на один год для расследования инцидентов и прохождения проверок.

Здесь же возникает несколько смежных обязательств, которые важно учитывать в комплексе, а не по отдельности. Первое – персональные данные. Записи сессий неизбежно фиксируют ПДн: на экране видны имена, контакты, фрагменты баз данных. Если организация обрабатывает эти данные – а в случае с архивом сессий это именно так – она обязана обеспечить их защиту по 152-ФЗ: ограничить доступ, защитить от несанкционированного использования и выстроить соответствующие организационные меры. Второе – сертифицированное шифрование. Если для защиты каналов и дисков применяются криптографические средства, для ГИС и КИИ закон требует использовать сертифицированные СКЗИ – это зона регулирования ФСБ.

Раньше применение сертифицированных СКЗИ заметно нагружало инфраструктуру: дополнительное шифрование в канале связи добавляло задержку, а в отдельных случаях затрудняло работу удалённых подключений. Для PAM-решений это особенно чувствительно, потому что система сама работает с удалёнными сессиями. Сейчас, по словам Антона Залесского, сертифицированные средства адаптированы под работу с системами информационной безопасности, включая PAM, и существенного влияния на пропускную способность сетей уже не оказывают. Коллизию с 152-ФЗ организации закрывают, комбинируя Solar SafeInspect с системами более широкого контроля за данными и пользователями, – это позволяет выполнить оба требования в рамках единой архитектуры.

Ключевой нюанс - что именно регулятор готов принять как доказательство. По словам Антона Залесского, самого факта наличия видеозаписи проверяющему органу, как правило, недостаточно. Если расследование внутреннее, видео ещё может хватить. Но как только подключаются регуляторы, требуется привязка действий к конкретным событиям через метаданные с временными метками - полноценные метаданные сессии оказываются полезнее при расследовании, чем просто видеозапись. В зарубежной практике форензик-отчёт с детальной реконструкцией действий давно стал ключевым объектом судебных споров об утечках данных. В делах Capital One (2020), McMenamins (2023) и Samsung (2024) суды обязывали компании раскрывать такие отчёты истцам именно потому, что те содержали фактическую картину произошедшего – восстановить её иным способом было невозможно.

Выполнить эти требования с помощью классической видеозаписи экрана сложно. Полные видеопотоки RDP-сессий в высоком разрешении занимают значительное дисковое пространство, а их информативность зачастую ниже, чем у структурированных метаданных. Найти конкретную запрещённую команду внутри многочасовой записи без разметки – задача, которая может растянуться на часы. Метаданные снимают обе проблемы сразу: они компактны и сразу пригодны для поиска и привязки к инцидентам.

Как Solar SafeInspect решает задачу хранения

Solar SafeInspect записывает не видео, а сырые данные протокола – структурированные метаданные сессии. Система фиксирует выполненные команды (для SSH), информацию о запущенных процессах, заголовки окон, время каждого действия, IP-адрес источника, целевую систему, тип протокола и ключевые события: эскалацию прав, появление запрещённых команд, ошибки. Такой подход позволяет обойтись без компрессии видеопотока – Solar SafeInspect изначально записывает минимально возможный объём данных.

Поиск по сессиям происходит через текстовые команды и их временные метки, которые хранятся в базе данных. Офицер безопасности вводит ключевое слово - например, запрещённую SSH-команду – и система за секунды показывает нужный момент сессии, подсвечивая саму команду. Переход к инциденту занимает минимум времени даже в многочасовых сессиях.

Если запись нужно передать за пределы контура – регулятору, службе внутренней безопасности или внешнему аудитору – Solar SafeInspect генерирует сессию в стандартном видеоформате. Перед экспортом система шифрует файл ключом, который хранится только внутри платформы. Это подтверждает, что файл создан в системе и не модифицирован после выгрузки.

Защита архивов от компрометации

В записях привилегированных сессий неизбежно оказываются чувствительные данные: пароли, ключи, персональная информация. Solar SafeInspect решает эту проблему на нескольких уровнях.

Данные сессий хранятся в зашифрованном проприетарном формате – работать с ними может только сама система. Контрольная сумма формируется на этапе инсталляции, и платформа периодически проверяет целостность всех значимых файлов и конфигураций. Если проверка выявляет изменения, PAM-система «Солара» выдаёт оповещение или временно приостанавливает работу скомпрометированного модуля.

Чувствительные области экрана – поля ввода паролей, имена пользователей – маскируются. Если администратор платформы всё же открывает эти области, система регистрирует факт просмотра: кто, когда и к каким данным получил доступ. Эта информация помогает при расследовании возможной утечки.

Зоны аудита: разделение доступа к записям

В крупных организациях IT-администратор, обслуживающий сервер хранения, не должен иметь возможности просматривать записанные сессии коллег. Solar SafeInspect решает этот конфликт интересов через механизм зон аудита. Авторизованный сотрудник получает доступ к записям только в своей зоне. Например, аудитор, отвечающий за внешних подрядчиков из компании А, видит только их сессии. Записи подрядчиков из компании Б в его интерфейсе не отображаются.

Интеграция с внешними системами

Solar SafeInspect передаёт структурированные данные во внешние SIEM-системы для обогащения контекста событий безопасности. Глубина интеграции зависит от задач заказчика: от базового сбора и анализа событий до получения файлов сессий и управления системой через API. Организация настраивает интеграцию настолько комплексно, насколько этого требует её инфраструктура.

Жизненный цикл данных: от оперативного хранения до архива

Практика внедрений Solar SafeInspect показывает типичную модель хранения: оперативные данные - от трёх до шести месяцев, холодный архив – от полугода до года. В отдельных случаях организации сохраняют записи на три – пять лет, особенно когда этого требуют регуляторы. Российские регуляторы ожидают хранение сроком от одного года.

PAM-система «Солара» позволяет гибко настраивать политики очистки. Автоматическое удаление не обязательно уничтожает все следы сессии: система может удалить тяжёлые данные протокола, но сохранить метаданные – время подключения, пользователь, источник. По этим записям служба безопасности восстанавливает значительный объём информации даже без возможности воспроизвести саму сессию.

Шифрование и производительность

Вернёмся к требованию регуляторов о сертифицированном шифровании. Раньше применение сертифицированных СКЗИ для шифрования каналов и дисков заметно нагружало инфраструктуру: дополнительное шифрование в канале связи добавляло задержку, а в отдельных случаях делало работу удалённых подключений затруднительной. Для PAM это особенно чувствительно, потому что система сама работает с удалёнными подключениями, которым нужна определённая ширина канала.

Сейчас сертифицированные средства адаптированы под работу с системами информационной безопасности, включая PAM, и существенного влияния на пропускную способность сетей уже не оказывают. А когда на записи попадают персональные данные и весь архив подпадает под 152-ФЗ, организации закрывают эту коллизию, комбинируя Solar SafeInspect с системами более широкого контроля за данными и пользователями.

«Запись сессий в формате метаданных – принципиальное архитектурное решение Solar SafeInspect. Мы фиксируем сырые данные протокола, поэтому не используем компрессию видео – система и так записывает минимально возможный объём. При расследовании офицер безопасности находит нужную команду за секунды, а не пересматривает часы видеозаписей. Если запись нужно передать регулятору, система сгенерирует видеофайл и зашифрует его ключом, который подтверждает подлинность экспорта»

Что в итоге даёт ставка на метаданные

Выбор формата хранения определяет почти всё остальное. Метаданные сокращают объём хранилища, ускоряют поиск нужного фрагмента с часов до секунд и дают регулятору ту самую привязку действий к событиям, которую не заменит «голое» видео. Когда видео всё-таки нужно, Solar SafeInspect генерирует его из метаданных и заверяет ключом. В связке с зонами аудита, контролем целостности и гибкими политиками жизненного цикла запись сессий перестаёт быть пассивным архивом «на всякий случай» и становится рабочим инструментом расследования.

Следующий шаг – поведенческая аналитика. По мере того, как она становится отраслевым стандартом, накопленные метаданные о командах и процессах оказываются готовой основой для автоматического выявления аномалий в действиях администраторов. В Solar SafeInspect такую возможность планируют развивать: текстовые команды с временными метками, которые система собирает уже сейчас, и есть то «топливо», на котором работают подобные модели.