إدارة الوصول المتميّز PAM تحمي أخطر حسابات المؤسسة: الـ admin والـ root وحسابات الخدمة التي تملك مفاتيح المملكة. المهاجم لا يخترق المستخدم العادي، بل يطارد الحساب المتميّز ليتحرّك أفقياً ويصل إلى الـ Domain Controller. مهمتك كـ presales ليست شرح التهيئة، بل ربط PAM بمخاطر ملموسة وبمتطلبات تنظيمية في الخليج.

• 1الـ Vaulting يخزّن كلمات سرّ الحسابات المتميّزة في خزنة مشفّرة ويبدّلها تلقائياً، فلا يعرف أحد كلمة السرّ الفعلية. هذه أقوى رسالة بيعية: لا توجد كلمات سرّ admin متداولة على Excel أو Sticky Notes.
• 2إدارة الجلسات Session Management توسّط كل اتصال متميّز، تسجّله بالفيديو، وتسمح بقطعه فوراً. للعميل تعني دليلاً قابلاً للتشغيل أمام المدقّق، ومراقبة حيّة للموردين الخارجيين.
• 3الوصول في الوقت المناسب Just-in-Time يمنح صلاحية مرتفعة لدقائق محدودة ثم يسحبها، بدلاً من حسابات admin دائمة. الرسالة: تقليص سطح الهجوم من 24 ساعة إلى نافذة قصيرة عند الحاجة فقط.
• 4اكتشاف الحسابات Discovery يفحص الشبكة ويكشف الحسابات المتميّزة المنسيّة وحسابات الخدمة المضمّنة. غالباً يكون أول عرض توضيحي صادم للعميل حين نُظهر مئات الحسابات التي لا يعرف بوجودها.
• 5إزالة الأسرار من الكود Secrets Management تستبدل كلمات السرّ المكتوبة داخل التطبيقات وملفّات CI/CD بطلب آمني لحظي من الخزنة. تربط PAM بعالم DevOps وتفتح ميزانية فريق التطوير لا الأمن فقط.

• معمارياً، PAM يجلس كـ proxy وسيط بين المستخدم والهدف عبر بروتوكولات SSH وRDP، مع خزنة مشفّرة AES-256 ومحرّك تبديل كلمات السرّ ومسجّل جلسات. تكامله الحرج مع الـ IdP (Entra ID أو Okta) عبر SAML/OIDC وربط دليل الصلاحيات بالـ ITSM. النضج الأعلى يدمج PAM مع SIEM لإرسال أحداث الجلسات وربطها بـ UEBA لكشف السلوك الشاذ.
• في مقارنة الموردين: CyberArk هو القائد التاريخي، الأغنى ميزات والأقوى في البيئات المعقّدة والـ on-prem، لكنه الأعلى تكلفة وتعقيداً في النشر. Delinea (دمج Thycotic وCentrify) أسرع في النشر وأبسط للسوق المتوسط وأقرب تكلفةً. منافسون آخرون: BeyondTrust وOne Identity، إضافة إلى Entra PIM كحلّ مدمج لمن يعيش بالكامل في Microsoft. الرسالة: طابق المورّد مع نضج العميل لا مع شهرة الاسم.
• في سياق الخليج: ضوابط NCA الأساسية في السعودية (ECC) و(CSCC) تطالب صراحةً بإدارة الحسابات المميّزة وتسجيل أنشطتها، وكذلك SAMA Cyber Security Framework للقطاع المالي. هذه المتطلبات تحوّل PAM من رفاهية إلى التزام تنظيمي. اربط الصفقة دائماً برقم ضابط محدّد، واطرح خيار النشر المحلّي data residency لأن جهات حكومية كثيرة ترفض السحابة الأجنبية لبيانات الهوية.