Контроль привилегированного доступа подрядчиков
изображение: recraft
Почему внешние исполнители стали главным вектором атак и как выстроить контроль, который реально работает?
Крупный бизнес за последние несколько лет существенно инвестировал в защиту периметра. Выстроил SOC, внедрил MFA, закрыл внешние порты, обучил сотрудников. Атакующие это заметили — и переключились на тех, у кого уже есть легитимный доступ внутрь.
Данные рынка подтверждают тренд: по исследованию Solar 4RAYS, доля атак через подрядчиков как начального вектора выросла с 6% в 2024 году до 24% в 2025 году, Positive Technologies фиксировала рост до 28% в 2024–2025 годах, Лаборатория Касперского сообщала, что в 2025 году с компрометацией подрядчиков столкнулись 35% российских компаний.
Логика атакующих проста: зачем пробивать хорошо защищённый периметр, если рядом есть подрядчик с прямым доступом в инфраструктуру и защитой значительно слабее?
Почему подрядчик — удобная точка входа
Здесь три конкретных причины, каждая из которых усиливает следующую.
Первая — широкий доступ при низком контроле. Подрядчики, как правило, имеют удалённый и привилегированный доступ к системам заказчика, но при этом зачастую остаются вне поля зрения средств защиты. Компания видит подключение от знакомого контрагента и не поднимает тревогу — даже если за клавиатурой сидит не тот человек.
Вторая — атака масштабируется. Взломав одну подрядную организацию, атакующие получают доступ к большому числу её клиентов. Одна скомпрометированная учётка системного интегратора открывает дверь сразу в десятки организаций, которые он обслуживает.
Изображение. 1. Выявление пользователей, не входивших в систему ранее, на примере дашбордов в PAM Infrascope
Третья — такой инцидент трудно обнаружить. Для пострадавшей организации действия атакующих выглядят очень похожими на легитимные действия сотрудников подрядной организации. Обычные инструменты обнаружения аномалий работают только тогда, когда есть зафиксированная норма. Если компания никогда ранее не фиксировала, как именно ведёт себя подрядчик в её инфраструктуре, — отклонение от нормы невидимо и просто никак не отслеживается.
Как устроен доступ подрядчиков сегодня: типичные ошибки
Проблема, как правило, не в отсутствии инструментов. Проблема в том, как организован сам процесс выдачи доступа. В реальных проектах повторяются три одинаковых паттерна:
— Доступ выдаётся под задачу, но не закрывается после её завершения. Привилегированные учётные записи создают под конкретные задачи, но после их завершения часто не удаляют. Забытые аккаунты копятся месяцами и становятся точкой входа для злоумышленников. Без злого умысла — из‑за отсутствия контроля жизненного цикла учётных записей.
-Доступ избыточен. Подрядчику дают права администратора «на всякий случай», чтобы не тратить время на точечную настройку под конкретную задачу. В итоге для замены одного сертификата у него есть доступ к двадцати серверам, трём базам данных и административной панели. Принцип минимальных привилегий остаётся декларацией в политике безопасности, а не реальной практикой.
— Инструмент есть, но процесс не выстроен. PAM-система внедрена, однако политики доступа настроены формально: подрядчикам выдаются широкие права, согласование не требуется, запись сессий не ведётся или не просматривается. В результате система фиксирует всё, но никто не реагирует на аномалии — и инструмент контроля превращается в дорогой журнал без последствий.
Технология без правильно выстроенного процесса не защищает — она создаёт иллюзию защиты.
Четыре механики контроля, которые нужно выстроить
Контроль привилегированного доступа подрядчиков строится на четырёх конкретных практиках, каждая из которых закрывает отдельный вектор риска:
Just-In-Time доступ
Доступ выдаётся не на срок проекта, а под конкретный тикет с конкретным временным окном. Подрядчик запросил доступ — система выдала учётные данные с ограниченным сроком действия. Срок истёк — доступ закрылся автоматически, без ручного вмешательства и без напоминания ответственному.
Это устраняет ситуацию, когда подрядчик, завершивший работу три месяца назад, по-прежнему числится активным пользователем в системе. Нет задачи — нет доступа.
Аудит и запись сессий
Всё, что делает подрядчик в инфраструктуре заказчика, фиксируется — команды, экранная активность, передача файлов, журналы событий. Записи хранятся, индексируются и доступны для расследования.
Изображение 2. Пример реализации функции логирования сессий в PAM Infrascope
Протоколирование и запись сеанса позволяют быстро восстановить хронологию инцидента, определить его границы и снизить время простоя систем. Кроме того, запись защищает и самого подрядчика: если что-то сломалось после его работы, она позволяет доказать, что к поломке он отношения не имеет.
Важный практический нюанс: запись без поиска по команде, времени и ресурсу — это архив, а не инструмент расследования. Искать нужный момент в видеозаписях сессий вручную несопоставимо дольше, чем требует разбор реального инцидента.
Обязательное согласование на критичные операции
Перед выполнением операций определённого класса — удаление данных, изменение конфигурации межсетевого экрана, остановка сервиса — система запрашивает подтверждение от ответственного со стороны заказчика. Подрядчик обязан описать, что именно он собирается сделать, до начала своих действий.
Это один из самых недооценённых механизмов. Он не замедляет работу — типичное согласование занимает несколько минут. Зато злоумышленник, использующий скомпрометированные учётные данные подрядчика, не сможет пройти этот шаг: у него нет контекста задачи и нет понимания, к кому обращаться за подтверждением. На практике именно на этапе согласования регулярно обнаруживается, что «плановую задачу» никто не ставил.
Профиль поведения подрядчика
Задача этого механизма — фиксировать не только инциденты, но и норму. Откуда подрядчик подключается, к каким системам, в какое время, какие команды выполняет. Любое отклонение от этого профиля — повод для проверки.
Профиль строится на основе данных из записей сессий, именно поэтому два предыдущих механизма взаимосвязаны. Чем дольше ведётся запись, тем точнее профиль и тем заметнее аномалия. Именно этот механизм делает маскировку атакующего под легитимного подрядчика обнаруживаемой. Без него любой инструмент обнаружения работает вслепую.
Контракт как часть безопасности
Технические меры работают только если подкреплены договорными обязательствами. Этот шаг большинство компаний либо пропускают, либо считают юридическими формальностями, не имеющими отношения к ИБ.
В договоре с подрядчиком должны быть прописаны четыре вещи. Первое: обязательное использование только корпоративных каналов доступа, предоставленных заказчиком. Никаких сторонних инструментов удалённого управления в обход корпоративного шлюза. Второе: согласие на запись сессий, с чётко сформулированными целями и условиями хранения данных. Третье: ответственность за действия, совершённые под учётными данными подрядчика, в том числе ответственность за компрометацию, произошедшую по вине подрядчика. Четвёртое: обязательство немедленно уведомить заказчика при инциденте на своей стороне: если подрядчика взломали, заказчик должен узнать об этом не из новостей.
В договорах важно также определить порядок действий при инцидентах: кто кому звонит, в какие сроки, какие данные передаёт. Без этого самый технически совершенный контроль остаётся инструментом без правовых последствий.
Итог
Контроль привилегированного доступа подрядчиков — не разовый проект по внедрению PAM. Это процесс, в котором технология, организационные правила и контрактные обязательства работают вместе.
По данным участников рынка, контроль доступа подрядчиков сегодня входит в тройку главных причин, по которым компании внедряют PAM-системы. Потребность признана — вопрос в том, как её закрыть.
Четыре механики — JIT-доступ, запись сессий, обязательное согласование и профиль поведения — дают конкретный ответ на конкретную угрозу. Без одной из них система остаётся с дырой. JIT закрывает брошенные учётки, запись сессий даёт материал для расследования, согласование блокирует несанкционированные критичные операции, профиль поведения делает атаку заметной. Вместе они формируют контроль, который работает не только на бумаге.
Дмитрий Симак, менеджер продукта PAM Infrascope, компания NGRSoftlab.
