Метаданные вместо видео: как меняется подход к хранению записей привилегированных сессий
За 2025 год Центр противодействия кибератакам Solar JSOC выявил 1,16 млн событий информационной безопасности у примерно 300 организаций из ключевых отраслей экономики. Второе место среди типов инцидентов занимают попытки несанкционированного доступа – на них пришлось 23% случаев: злоумышленники активно подбирают пароли и эксплуатируют уязвимости систем аутентификации. Особую опасность представляет компрометация привилегированных учетных записей. По данным ГК «Солар», в 2025 году почти треть кибератак совершается через подрядчиков, которые получают легитимный доступ к критическим системам.Когда злоумышленник или подрядчик действует под учётной записью сотрудника с повышенными правами, обычные средства защиты периметра его не видят – формально это администратор, выполняющий штатные операции. Единственный способ разобраться, что именно происходило внутри сессии, – иметь её запись. Поэтому системы класса PAM (Privileged Access Management) записывают действия привилегированных пользователей, а регуляторы всё чаще требуют хранить такие записи.Дальше начинается инженерная развилка. Записывать сессию можно как видео экрана, а можно – как структурированные метаданные: сырые данные протокола. Первый путь даёт привычную «картинку», но требует терабайтов хранилища и плохо ищется. Второй занимает минимум места и мгновенно ищется по командам, но требует другой архитектуры и имеет ограничения для чисто графических интерфейсов (например, сложнее восстановить визуальный контекст, если пользователь не вводил команды). В Solar SafeInspect реализован второй подход. Вместе с бизнес-архитектором ГК «Солар» Антоном Залесским разбираемся, как это устроено и почему формат хранения напрямую влияет на скорость расследования и соответствие требованиям регуляторов. Читать далее