
FTP-трафик: чем опасен для бизнеса и как его контролировать через SWG
Узнать больше
Получить консультацию
Спасибо, заявка получена
Мы свяжемся с вами в течение двух дней
по вашему запросу.
Каждое четвертое успешное проникновение в корпоративную инфраструктуру происходит через подрядчиков. С 1 марта 2026 года бесконтрольный удаленный доступ стал еще и нарушением: приказ ФСТЭК № 117 обязал организации перестроить архитектуру дистанционных подключений и внедрить контроль привилегированных пользователей. Рассказываем, что именно изменилось и как PAM-система Solar SafeInspectSolar SafeInspect — PAM-платформа ГК «Солар» для контроля привилегированных учетных записей и сессий в классических и облачных IT-системах. с модулем SafeConnect закрывает новые требования.
Что такое удаленное подключение
Дистанционная работа стала нормой задолго до того, как регуляторы успели ее зарегулировать. Сегодня к корпоративным системам подключаются не только штатные сотрудники из домашнего офиса — внешние разработчики, сервисные инженеры, аутсорс-команды ежедневно получают доступ к инфраструктуре заказчика с устройств, которые служба безопасности не контролирует. Технологически удаленный доступ реализуется через несколько протоколов:
Каждый из этих инструментов решает свою задачу, но ни один сам по себе не дает ответа на вопрос, что именно делал пользователь внутри сессии.
Удаленный доступ: риск на входе
Подрядчик с широкими правами и без жесткого контроля сессии — открытая дверь в инфраструктуру. Мониторинг удаленных подключений привилегированных пользователей должен быть непрерывным, а не выборочным.
Эксперты Solar SafeInspect
Важность контроля удаленного подключения привилегированных пользователей
По итогам 2025 года Solar 4RAYS зафиксировала резкий сдвиг в тактике злоумышленников: доля атак через подрядчиков выросла в четыре раза — с 6 до 24% от общего числа успешных проникновений. Логика атакующих проста: IT-компания, обслуживающая крупного заказчика, сама по себе может быть слабо защищена, зато имеет прямой сетевой доступ к его инфраструктуре. Взломать подрядчика — значит получить легитимный ключ к цели.
Особую опасность представляют подрядчики с расширенными правами. Расширенные права — то, что отличает привилегированного пользователя от рядового сотрудника. Администратор баз данных, инженер поддержки, внешний разработчик с правами на деплой — каждый работает с собственного устройства, никак не связанного с политиками безопасности заказчика. При этом его учетная запись открывает доступ к ресурсам, компрометация которых означает полноценный инцидент.
Стандартные средства мониторинга здесь не помогают: они фиксируют сам факт соединения, но не то, что происходило внутри сеанса. Полноценный контроль действий пользователей с расширенными правами возможен только через специализированную систему управления привилегированным доступом — PAMPAM-система — инструмент управления привилегированным доступом: изолирует сессии пользователей с расширенными правами, записывает их действия и применяет политики доступа к критическим ресурсам.. Именно она записывает сессию, применяет политики и способна прервать подозрительный сеанс прежде, чем ущерб будет нанесен.
Новые требования ФСТЭК: приказ № 117 и роль PAM-систем
До марта 2026 года типичная схема дистанционного подключения в организациях выглядела так: VPN-клиент на ноутбуке подрядчика, прямой доступ к нужным сегментам сети, никаких журналов внутри сессии. Технически это работало. С точки зрения безопасности — создавало слепое пятно размером с весь привилегированный доступ.
Приказ ФСТЭК № 117 переопределил правила. Для дистанционного подключения к ГИС теперь обязательны три условия: средство доступа должно быть сертифицированным; сессия — изолированной от прямого сетевого контакта с инфраструктурой; все действия пользователя внутри сеанса — зарегистрированными. Несертифицированные VPN-клиенты и прямой проброс портов под эти требования не подпадают.
Выполнить все три условия без специализированного инструмента не получится. Именно здесь в игру входит PAM-система — и закрывает каждое требование точечно:
Именно поэтому управление привилегированным доступом стало обязательным компонентом для ГИС, объектов КИИКИИ — Критическая информационная инфраструктура — объекты, нарушение работы которых влечет значимые последствия для государства, экономики или жизнедеятельности граждан. и финансовых организаций под надзором Банка России: PAM — единственный инструмент, который закрывает все три требования приказа № 117 в рамках одного решения.
Мониторинг удаленных подключений: контроль сотрудников и подрядчиков
Когда подрядчик получает доступ к инфраструктуре заказчика, контроль над ситуацией фактически теряется: внешний специалист работает с личного устройства, действует за периметром безопасности и при этом держит в руках учетные данные с широкими правами. Заказчик видит факт подключения, но не то, что происходило внутри сеанса. По данным Solar 4RAYS, именно этот слепой канал стал точкой входа в каждом четвертом успешном проникновении в 2025 году.
Мониторинг удаленных подключений закрывает эту уязвимость системно. Для подрядчиков и внешних поставщиков IT-услуг критичны три уровня контроля:
Отдельный инструмент контроля для подрядчиков — временные рамки доступа. Постоянно действующие привилегии для внешнего специалиста недопустимы: права должны выдаваться под конкретную задачу и автоматически истекать по ее завершении. Именно так работает модель Just-in-TimeJust-in-Time доступ — модель предоставления привилегий: расширенные права выдаются только на конкретный временной интервал и автоматически отзываются по его истечении., реализованная в Solar SafeConnect, — подрядчик получает ровно тот доступ, который нужен, ровно на то время, которое необходимо.
Держим планку по ФСТЭК — не снижаем темп. PAM-платформа Solar SafeInspect: изоляция сессий, контроль привилегированного доступа и полное соответствие приказу № 117 — все в одном решении.
Безопасность удаленного подключения: изоляция и строгая аутентификация
Атака через подрядчика разворачивается по одному сценарию: злоумышленник получает доступ к учетным данным внешнего специалиста и входит в корпоративную систему так же, как входил бы легитимный пользователь. Остановить его на этом этапе стандартными средствами невозможно: VPN уже аутентифицировал соединение, а что происходит внутри, никто не видит.
Разрыв этой цепочки требует другой архитектуры. Устройство подрядчика и целевая система не должны находиться в одном сетевом сегменте — между ними нужен управляемый шлюз, который видит каждое действие пользователя и способен прервать сеанс в любой момент. Именно так устроен Solar SafeConnect: пользователь работает в браузере, сессия идет через портал по RDP, SSH или HTTPS, а инфраструктура заказчика остается за периметром — недоступной напрямую.
Второй уровень защиты — аутентификация. Один пароль давно не считается достаточным барьером: Solar SafeConnect интегрируется со сторонними MFA-решениями, позволяя настроить столько факторов подтверждения, сколько требует политика безопасности организации.
Solar SafeConnect против стандартного VPN: сравнение по ключевым параметрам
|
Параметр |
Solar SafeConnect |
Стандартный VPN |
|---|---|---|
|
Изоляция сессии от устройства пользователя |
✔ |
✖ |
|
Работа без агентов на устройстве |
✔ |
✖ |
|
Запись всех действий внутри сессии |
✔ |
✖ |
|
Сертификат ФСТЭК (4-й УД) |
✔ |
✖ |
|
Just-in-Time-доступ с автоотзывом прав |
✔ |
✖ |
|
Подстановка учетных данных без раскрытия |
✔ |
✖ |
|
Работа на Astra Linux (импортозамещение) |
✔ |
✖ |
|
Соответствие приказу ФСТЭК № 117 |
✔ |
✖ |

Держим доступ под контролем — увеличиваем защиту
Настройте безопасное удаленное подключение по требованиям ФСТЭК № 117 уже сегодня. Покажем, как Solar SafeConnect и Solar SafeInspect закроют необходимые требования в вашей инфраструктуре.
Solar SafeConnect: сертифицированный модуль для легального удаленного доступа
Solar SafeConnect — модуль дистанционного доступа в составе PAM-платформы Solar SafeInspect. Он прошел сертификацию ФСТЭК России по четвертому уровню доверия и зарегистрирован в реестре отечественного ПО Минцифры (№ 3341). Для ГИС и объектов КИИ это означает, что решение можно предъявить регулятору без дополнительных объяснений. Функционально модуль закрывает полный цикл управления дистанционным доступом:
В связке с Solar SafeInspect цикл замыкается полностью. SafeConnect принимает заявку, проверяет пользователя и открывает сессию. SafeInspect авторизует его в целевой системе, подставляет учетные данные и применяет политики. Дальше — непрерывный мониторинг удаленных подключений: запись каждого действия, уведомление при аномалии или автоматическое завершение сеанса.
Импортозамещение и работа PAM-системы на отечественной платформе
Для госсектора и КИИ программная база решения — не технический нюанс, а условие допуска к эксплуатации. Solar SafeInspect с модулем SafeConnect работает на Astra Linux: сертифицированная отечественная ОС, включенная в реестр Минцифры, без иностранных компонентов в стеке. Санкционный риск исключен на уровне архитектуры.
Для крупных организаций с несколькими площадками важна еще одна характеристика — масштабируемость. Платформа наращивается горизонтально: новые узлы подключаются без изменения логики работы уже развернутых. Solar SafeInspect встраивается в существующую инфраструктуру безопасности через интеграции с DLP-системами и VPN — полная замена стека не требуется.
Solar SafeInspect — сертифицированное решение для соответствия ФСТЭК
Требования приказа № 117 не оставляют пространства для маневра: либо организация демонстрирует аудитору сертифицированное средство с изолированными сессиями и полными журналами, либо нарушает нормативные требования. Третьего варианта нет.
Solar SafeInspect с модулем Solar SafeConnect решает эту задачу без компромиссов: сертификат ФСТЭК четвертого уровня доверия, изоляция сессий на уровне архитектуры, непрерывный мониторинг удаленных подключений, журнал каждого действия привилегированного пользователя.
Часто задаваемые вопросы
С 1 марта 2026 года организации обязаны применять сертифицированные средства для дистанционного подключения, обеспечивать полную изоляцию сессий и вести сплошной журнал действий привилегированных пользователей.
SafeConnect изолирует сессию архитектурно: прямого сетевого контакта между устройством пользователя и целевой системой нет. Обычный VPN такой изоляции не дает и не соответствует приказу ФСТЭК № 117.
Нет. Solar SafeConnect работает через веб-браузер — никаких агентов или клиентских приложений на устройстве внешнего специалиста устанавливать не требуется.
Пользователь подключается к порталу SafeConnect, проходит аутентификацию и получает доступ к целевой системе внутри изолированной сессии. Прямого сетевого взаимодействия с инфраструктурой не происходит.
Да. Связка Solar SafeInspect и Solar SafeConnect обеспечивает выполнение требований ГОСТ по управлению логическим доступом на всех трех уровнях защиты.
Solar SafeInspect с модулем Solar SafeConnect сертифицированы ФСТЭК России по четвертому уровню доверия.
Скачать материал
Спасибо!
Если файл не скачался, перейдите по ссылке
Файл не найден
Самые важные новости кибербезопасности у вас в почте
Выберите темы, на которые бы вам было интересно получать новости.
Запросить консультацию
Получите материалы вебинара
Получите контент бесплатно. Укажите e‑mail, и мы пришлем код доступа