惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

月光博客
月光博客
T
Tenable Blog
D
DataBreaches.Net
GbyAI
GbyAI
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
腾讯CDC
V
Visual Studio Blog
B
Blog
雷峰网
雷峰网
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
I
InfoQ
M
MIT News - Artificial intelligence
有赞技术团队
有赞技术团队
T
Tailwind CSS Blog
The Cloudflare Blog
L
LangChain Blog
MongoDB | Blog
MongoDB | Blog
Vercel News
Vercel News
Cloudbric
Cloudbric
L
Lohrmann on Cybersecurity
博客园 - 司徒正美
T
The Exploit Database - CXSecurity.com
Google DeepMind News
Google DeepMind News
www.infosecurity-magazine.com
www.infosecurity-magazine.com
Attack and Defense Labs
Attack and Defense Labs
Martin Fowler
Martin Fowler
SecWiki News
SecWiki News
T
Threat Research - Cisco Blogs
J
Java Code Geeks
Cyberwarzone
Cyberwarzone
Forbes - Security
Forbes - Security
Spread Privacy
Spread Privacy
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
大猫的无限游戏
大猫的无限游戏
O
OpenAI News
D
Darknet – Hacking Tools, Hacker News & Cyber Security
CTFtime.org: upcoming CTF events
CTFtime.org: upcoming CTF events
Schneier on Security
Schneier on Security
S
Security @ Cisco Blogs
酷 壳 – CoolShell
酷 壳 – CoolShell
The Hacker News
The Hacker News
H
Help Net Security
Y
Y Combinator Blog
C
Cybersecurity and Infrastructure Security Agency CISA
T
Tor Project blog
量子位
U
Unit 42
S
SegmentFault 最新的问题
V
V2EX
D
Docker

Все публикации подряд на Хабре

Ловим музу за клавиатуру: как айтишнику стать автором Что умеет Midjourney в 2026? Мой немного грустный разбор этого шикарного инструмента Никто не любит писать тесты, но ИИ может исправить это IPv8 выглядит как мечта. Поэтому почти наверняка не взлетит Производители вернули в продажу материнки с DDR3. Что происходит? Управление агентом с телефона через Telegram теперь в KodaCode От координации к лидерству: как меняется роль руководителя разработки Я сделала родителям бизнес вместо пенсии: зарабатываем 70 тысяч, мама не даёт продать В три раза быстрее приемка товара и оптимизация трудозатрат на 73%: как «РСТ-Инвент» помог Gulliver Group ИИ-шечный мир победил? О влиянии искусственного интеллекта на игропром Кремль снижает давление на Телеграмм пока Европа строит интернет по паспорту Как CEO, CTO и CIO за 8 часов собрали ИИ-директора, который умеет держать позицию под давлением Как (не) потерять домен за выходные Вместо 8 разных VPS: как я организовал практику студентам на одном сервере Почему твой Open Source проект не замечают? R&D: искусство управления неопределенностью в разработке AI-дефляция: вакансий для разработчиков больше, а рост зарплат — худший за 15 лет Мы отдали управление роботами OpenClaw. Что из этого вышло Галактический ID: система идентификации для всех форм разумной жизни Шесть основ бизнес-анализа: начинаем с вопроса «Кто в игре?» Код-ревью, в котором дело не в коде Данные переехали. Команда — нет Системной подход к сдаче OSWE в 2025 Почему комната управления реактором покрашена в цвет морской пены 4 YAML-файла вместо PySpark: как аналитикам строить пайплайны без разработчиков LLM-агент для поиска свободных доменов: автоматизируем подбор Когда, зачем и как правильно начинать новую сессию в Claude Code? Как я заставил нейросеть писать макросы для FreeCAD Анатомия ИИ‑агента для подбора персонала. От тысячи резюме к топ‑10 за минуты Опыт разработчика как экономика внимания Автономность как точка невозврата: кто будет субъектом в цифровом будущем Обучение ИИ в «диких» условиях: как рутинные действия превращаются в датасеты Как измерить LLM для задач кибербеза: обзор открытых бенчмарков Где хранить код? Сравнение GitHub, GitLab и Bitbucket Математика объясняет, почему нормальное распределение встречается повсюду Почему ваш FinOps не работает: 12 тезисов от практиков Как подписать проектную документацию УКЭП с использованием бесплатных лицензий Pilot Адаптивное администрирование Sigla Vision Я грузил уран в бочки, а потом 20 лет строил ИТ в атомной отрасли Чем позвонить с Эвереста? История и обзор спутниковой связи. Часть 2 Как языковая модель помогает контролировать качество инструктажей по охране труда в металлургии Как не передать на desktop свой IP в РКН Анатомия SAP Privileges: как устроено управление правами в macOS MoneyDev: Сказка про три главных слова Обновлённый токенизатор видео K-VAE 2.0 от Сбера Как сделать диспетчеризацию дома на 1284 квартиры почти бесплатно Как мы разогнали железную дорогу Мы дали агентам рутину. Теперь надо решить — что делать с освободившимся временем Токсичный контент, промпт-хакинг и защита ИИ — всё о Guardrails для LLM Умный город начинается с точного взгляда: как «Фалькон Тех» меняет пространство к лучшему Навайбкодил приложение для анализа графов Почему Дюну так интересно читать? Упрощаем работу с рутиной или как стать Гендальфом Белым Деконструкция Go: CPU, RAM и что там происходит. Go Assembler база. Часть 1.1 Какие профессии исчезнут из-за ИИ, а какие появятся? И что с этим делать Как мы построили IT-отдел, где хочется расти: архитектурные встречи, прозрачные метрики и книжные подарки Rufler: Делаем из Claude Code автономный рой через один YAML-конфиг Sing-box и белый список приложений Как построить надёжный обмен сообщениями в микросервисах: лучшие практики для enterprise OpenAI строит MLM-пирамиду, а McKinsey и Accenture помогают ей в этом Дом, который не построил Фишер (Часть 2) «Сверхзвуковой математик» против «Вдумчивого логиста»: битва алгоритмов 3D-упаковки Мультимодальные модели – грубый и дорогой инструмент Разговоры ничего не стоят. Код тоже Проверки физических лиц: с кого начнет ФНС Топ-10 бесплатных нейросетей для создания видео в 2026 году Первые слои кода: как наши решения сегодня определяют архитектуру ИИ на десятилетия Разработка нового статического анализатора: PVS-Studio JavaScript Поиск уязвимостей ПО: базовый минимум или роскошный максимум Почему оценка персонала не работает как инструмент управления Как мы разработали ИИ-ассистента и сократили рутину продуктовой команды на 50% Как я ушел из найма, нажарил косточек и продал на маркетплейсах на 168 млн в год Когда 1С:ERP уже внедрена, а нормального производственного плана всё ещё нет Как я сделал Claude мультимодальным, подключив к нему Qwen Omni Как приглашение на вакансию мечты превращается в атаку Infrastructure as Code: философия и лучшие практики IaC Тестируем Yandex Code Assistant на задаче, в которой нужно хранить секреты nxs-universal-chart v3.0: новое поколение универсального Helm-чарта Callback Injection: Техника, которая отправила Microsoft Defender в глухой нокаут «Все идеи на стол»: митап как способ вывести проект из тупика Сегодня я узнал нечто новое о GPU благодаря багу в своей игре Как заставить LLM ̶ ̶г̶а̶л̶л̶ю̶ ̶ эволюционировать Карта событий как фундамент аналитики: практический кейс для E-commerce Что выбрать для AI: x86, ARM или RISC-V? Дайджест железа за март Роль соматических мутаций в развитии аутоиммунных заболеваний: путь к избирательной терапии Mythos от Anthropic — тревожный сигнал для всех, а не только для банков Guardrails для LLM на Java: как приручить промпт‑инъекции и токсичные ответы Green-VLA: как мы собрали VLA-модель для реального антропоморфного робота и не потеряли обобщение Финансовая гонка вооружений: почему умные люди добровольно в ней участвуют Эра ИИ-агентов наступила: выбираем лучшего цифрового сотрудника # Практический опыт внедрения WinCC Redundancy на производственном предприятии Сделал MVP за 3 дня, а потом неделю прикручивал оплату. Оно того стоило? Физика против Маска: почему Starship V3 может оказаться ещё одной катастрофой Нефть Венесуэлы: крупнейшие запасы в мире, но не крупнейшая нефтяная держава JPA 4. Переосмысление Hibernate Почему зеркальная фотокамера Nikon D5 десятилетней давности идеально подошла для миссии «Артемида-2» Проект «Уровень-Спутник» или как мы сделали платформу для гидрологов «Замедлиться, чтобы ускориться»: почему ИИ повышает цену ошибок в требованиях и архитектуре Как с нуля поднять трафик IT-компании на 1657% при бюджете 55 тыс. и выжить Pixel-perfect Downsampling — идеальная отрисовка 50 миллионов точек без потерь
Метаданные вместо видео: как меняется подход к хранению записей привилегированных сессий
SolarSecurity · 2026-06-23 · via Все публикации подряд на Хабре

Метаданные вместо видео: как меняется подход к хранению записей привилегированных сессий

Простой

8 мин

81

За 2025 год Центр противодействия кибератакам Solar JSOC выявил 1,16 млн событий информационной безопасности у примерно 300 организаций из ключевых отраслей экономики. Второе место среди типов инцидентов занимают попытки несанкционированного доступа – на них пришлось 23% случаев: злоумышленники активно подбирают пароли и эксплуатируют уязвимости систем аутентификации. Особую опасность представляет компрометация привилегированных учетных записей. По данным ГК «Солар», в 2025 году почти треть кибератак совершается через подрядчиков, которые получают легитимный доступ к критическим системам.

Когда злоумышленник или подрядчик действует под учётной записью сотрудника с повышенными правами, обычные средства защиты периметра его не видят – формально это администратор, выполняющий штатные операции. Единственный способ разобраться, что именно происходило внутри сессии, – иметь её запись. Поэтому системы класса PAM (Privileged Access Management) записывают действия привилегированных пользователей, а регуляторы всё чаще требуют хранить такие записи.

Дальше начинается инженерная развилка. Записывать сессию можно как видео экрана, а можно – как структурированные метаданные: сырые данные протокола. Первый путь даёт привычную «картинку», но требует терабайтов хранилища и плохо ищется. Второй занимает минимум места и мгновенно ищется по командам, но требует другой архитектуры и имеет ограничения для чисто графических интерфейсов (например, сложнее восстановить визуальный контекст, если пользователь не вводил команды). В Solar SafeInspect реализован второй подход. Вместе с бизнес-архитектором ГК «Солар» Антоном Залесским разбираемся, как это устроено и почему формат хранения напрямую влияет на скорость расследования и соответствие требованиям регуляторов.

Зачем организациям записывать привилегированные сессии

Администраторы, DevOps-инженеры и подрядчики с повышенными правами ежедневно подключаются к критически значимым системам по RDP, SSH и другим протоколам. Каждое такое подключение несёт риск: ошибочная команда, несанкционированное копирование данных или целенаправленная атака. Опасность привилегированного доступа в том, что злоупотребление им сложно отличить от нормальной работы. Рост числа кибератак через подрядчиков стал одним из ключевых трендов 2025 года.

Эксперты ГК «Солар» отмечают, что незначительная часть таких атак начинается с компрометации привилегированных учётных записей подрядчиков – именно поэтому контроль привилегированного доступа становится первой линией защиты, а не дополнительной опцией. Внешний злоумышленник тоже целенаправленно охотится за привилегированными учётными записями – они открывают прямой доступ к критическим системам, позволяют перемещаться по инфраструктуре незамеченным и, в отличие от обычного пользователя, дают возможность заметать следы: удалять логи, отключать средства защиты, менять конфигурации.

Запись действий привилегированных пользователей – это то, что превращает подозрение в доказательство. Например, Politico сообщило, что и.о. директора Агентства по кибербезопасности и защите инфраструктуры США (CISA) Мадху Готтумуккала загрузил не менее четырёх служебных документов с пометкой «for official use only» в публичную версию ChatGPT – это произошло в июле – августе 2025 года, несмотря на то что остальным сотрудникам DHS доступ к сервису был закрыт. Автоматические системы мониторинга зафиксировали загрузки и сформировали предупреждения, после чего Министерство внутренней безопасности инициировало внутреннее расследование. Без зафиксированного следа этот инцидент остался бы незамеченным – именно системы логирования, а не периметровая защита, позволили его обнаружить.

Что требуют регуляторы и почему одной видеозаписи мало

В России записывать и хранить действия привилегированных пользователей требует сразу несколько регуляторов, и каждый смотрит на свой аспект. Приказы ФСТЭК №117 (для государственных информационных систем) и №21 (для информационных систем персональных данных) предписывают идентифицировать и аутентифицировать пользователей, управлять доступом, регистрировать события безопасности и контролировать целостность информации. На языке PAM это означает: действия администраторов нужно записывать, хранить с защитой от изменения и сохранять возможность последующего анализа. Федеральный закон №187 распространяет схожие требования на субъектов критической информационной инфраструктуры (КИИ) – для них мониторинг действий администраторов и хранение событий безопасности обязательны.

При этом приказ №21 ФСТЭК устанавливает минимальный срок хранения событий безопасности – не менее трёх месяцев. Но для КИИ конкретный срок нормативно не закреплён: субъект определяет его самостоятельно. На практике мы рекомендуем хранить метаданные минимум на один год для расследования инцидентов и прохождения проверок.

Здесь же возникает несколько смежных обязательств, которые важно учитывать в комплексе, а не по отдельности. Первое – персональные данные. Записи сессий неизбежно фиксируют ПДн: на экране видны имена, контакты, фрагменты баз данных. Если организация обрабатывает эти данные – а в случае с архивом сессий это именно так – она обязана обеспечить их защиту по 152-ФЗ: ограничить доступ, защитить от несанкционированного использования и выстроить соответствующие организационные меры. Второе – сертифицированное шифрование. Если для защиты каналов и дисков применяются криптографические средства, для ГИС и КИИ закон требует использовать сертифицированные СКЗИ – это зона регулирования ФСБ.

Раньше применение сертифицированных СКЗИ заметно нагружало инфраструктуру: дополнительное шифрование в канале связи добавляло задержку, а в отдельных случаях затрудняло работу удалённых подключений. Для PAM-решений это особенно чувствительно, потому что система сама работает с удалёнными сессиями. Сейчас, по словам Антона Залесского, сертифицированные средства адаптированы под работу с системами информационной безопасности, включая PAM, и существенного влияния на пропускную способность сетей уже не оказывают. Коллизию с 152-ФЗ организации закрывают, комбинируя Solar SafeInspect с системами более широкого контроля за данными и пользователями, – это позволяет выполнить оба требования в рамках единой архитектуры.

Ключевой нюанс - что именно регулятор готов принять как доказательство. По словам Антона Залесского, самого факта наличия видеозаписи проверяющему органу, как правило, недостаточно. Если расследование внутреннее, видео ещё может хватить. Но как только подключаются регуляторы, требуется привязка действий к конкретным событиям через метаданные с временными метками - полноценные метаданные сессии оказываются полезнее при расследовании, чем просто видеозапись. В зарубежной практике форензик-отчёт с детальной реконструкцией действий давно стал ключевым объектом судебных споров об утечках данных. В делах Capital One (2020), McMenamins (2023) и Samsung (2024) суды обязывали компании раскрывать такие отчёты истцам именно потому, что те содержали фактическую картину произошедшего – восстановить её иным способом было невозможно.

Выполнить эти требования с помощью классической видеозаписи экрана сложно. Полные видеопотоки RDP-сессий в высоком разрешении занимают значительное дисковое пространство, а их информативность зачастую ниже, чем у структурированных метаданных. Найти конкретную запрещённую команду внутри многочасовой записи без разметки – задача, которая может растянуться на часы. Метаданные снимают обе проблемы сразу: они компактны и сразу пригодны для поиска и привязки к инцидентам.

Как Solar SafeInspect решает задачу хранения

Solar SafeInspect записывает не видео, а сырые данные протокола – структурированные метаданные сессии. Система фиксирует выполненные команды (для SSH), информацию о запущенных процессах, заголовки окон, время каждого действия, IP-адрес источника, целевую систему, тип протокола и ключевые события: эскалацию прав, появление запрещённых команд, ошибки. Такой подход позволяет обойтись без компрессии видеопотока – Solar SafeInspect изначально записывает минимально возможный объём данных.

Поиск по сессиям происходит через текстовые команды и их временные метки, которые хранятся в базе данных. Офицер безопасности вводит ключевое слово - например, запрещённую SSH-команду – и система за секунды показывает нужный момент сессии, подсвечивая саму команду. Переход к инциденту занимает минимум времени даже в многочасовых сессиях.

Если запись нужно передать за пределы контура – регулятору, службе внутренней безопасности или внешнему аудитору – Solar SafeInspect генерирует сессию в стандартном видеоформате. Перед экспортом система шифрует файл ключом, который хранится только внутри платформы. Это подтверждает, что файл создан в системе и не модифицирован после выгрузки.

Защита архивов от компрометации

В записях привилегированных сессий неизбежно оказываются чувствительные данные: пароли, ключи, персональная информация. Solar SafeInspect решает эту проблему на нескольких уровнях.

Данные сессий хранятся в зашифрованном проприетарном формате – работать с ними может только сама система. Контрольная сумма формируется на этапе инсталляции, и платформа периодически проверяет целостность всех значимых файлов и конфигураций. Если проверка выявляет изменения, PAM-система «Солара» выдаёт оповещение или временно приостанавливает работу скомпрометированного модуля.

Чувствительные области экрана – поля ввода паролей, имена пользователей – маскируются. Если администратор платформы всё же открывает эти области, система регистрирует факт просмотра: кто, когда и к каким данным получил доступ. Эта информация помогает при расследовании возможной утечки.

Зоны аудита: разделение доступа к записям

В крупных организациях IT-администратор, обслуживающий сервер хранения, не должен иметь возможности просматривать записанные сессии коллег. Solar SafeInspect решает этот конфликт интересов через механизм зон аудита. Авторизованный сотрудник получает доступ к записям только в своей зоне. Например, аудитор, отвечающий за внешних подрядчиков из компании А, видит только их сессии. Записи подрядчиков из компании Б в его интерфейсе не отображаются.

Интеграция с внешними системами

Solar SafeInspect передаёт структурированные данные во внешние SIEM-системы для обогащения контекста событий безопасности. Глубина интеграции зависит от задач заказчика: от базового сбора и анализа событий до получения файлов сессий и управления системой через API. Организация настраивает интеграцию настолько комплексно, насколько этого требует её инфраструктура.

Жизненный цикл данных: от оперативного хранения до архива

Практика внедрений Solar SafeInspect показывает типичную модель хранения: оперативные данные - от трёх до шести месяцев, холодный архив – от полугода до года. В отдельных случаях организации сохраняют записи на три – пять лет, особенно когда этого требуют регуляторы. Российские регуляторы ожидают хранение сроком от одного года.

PAM-система «Солара» позволяет гибко настраивать политики очистки. Автоматическое удаление не обязательно уничтожает все следы сессии: система может удалить тяжёлые данные протокола, но сохранить метаданные – время подключения, пользователь, источник. По этим записям служба безопасности восстанавливает значительный объём информации даже без возможности воспроизвести саму сессию.

Шифрование и производительность

Вернёмся к требованию регуляторов о сертифицированном шифровании. Раньше применение сертифицированных СКЗИ для шифрования каналов и дисков заметно нагружало инфраструктуру: дополнительное шифрование в канале связи добавляло задержку, а в отдельных случаях делало работу удалённых подключений затруднительной. Для PAM это особенно чувствительно, потому что система сама работает с удалёнными подключениями, которым нужна определённая ширина канала.

Сейчас сертифицированные средства адаптированы под работу с системами информационной безопасности, включая PAM, и существенного влияния на пропускную способность сетей уже не оказывают. А когда на записи попадают персональные данные и весь архив подпадает под 152-ФЗ, организации закрывают эту коллизию, комбинируя Solar SafeInspect с системами более широкого контроля за данными и пользователями.

«Запись сессий в формате метаданных – принципиальное архитектурное решение Solar SafeInspect. Мы фиксируем сырые данные протокола, поэтому не используем компрессию видео – система и так записывает минимально возможный объём. При расследовании офицер безопасности находит нужную команду за секунды, а не пересматривает часы видеозаписей. Если запись нужно передать регулятору, система сгенерирует видеофайл и зашифрует его ключом, который подтверждает подлинность экспорта»

Что в итоге даёт ставка на метаданные

Выбор формата хранения определяет почти всё остальное. Метаданные сокращают объём хранилища, ускоряют поиск нужного фрагмента с часов до секунд и дают регулятору ту самую привязку действий к событиям, которую не заменит «голое» видео. Когда видео всё-таки нужно, Solar SafeInspect генерирует его из метаданных и заверяет ключом. В связке с зонами аудита, контролем целостности и гибкими политиками жизненного цикла запись сессий перестаёт быть пассивным архивом «на всякий случай» и становится рабочим инструментом расследования.

Следующий шаг – поведенческая аналитика. По мере того, как она становится отраслевым стандартом, накопленные метаданные о командах и процессах оказываются готовой основой для автоматического выявления аномалий в действиях администраторов. В Solar SafeInspect такую возможность планируют развивать: текстовые команды с временными метками, которые система собирает уже сейчас, и есть то «топливо», на котором работают подобные модели.