Журнал "Information Security/ Информационная безопасность" #2, 2020

Без специального реше- ния невозможно проверить соответствие домашних машин корпоративной поли- тике безопасности, для этого стоит внедрить агент- ское или безагентское решение класса NAC. В зависимости от рассчи- танных для компьютера показателей риска NAC определяет используемые для него политики безопас- ности и, например, дает файрволу команду ограни- чить доступ к определенным информационным системам. сотрудники выполнят это тре- бование. Без специального решения невозможно проверить соответствие домашних машин корпоративной политике без- опасности, для этого стоит внед- рить агентское или безагентское решение класса NAC. Система будет анализировать каждый пытающийся подклю- читься к сети компьютер или мобильное устройство и вычис- лять для него определенный рейтинг безопасности. Отсле- живаться могут самые разные показатели: версия операцион- ной системы, наличие установ- ленных обновлений, наличие антивирусных программ с акту- альными базами или агентов MDM и DLP, настройки межсе- тевого экрана и многое другое. Для клиентского устройства рассчитываются индикаторы риска, а затем к нему приме- няются политики безопасности. Можно, например, поместить его в отдельный VLAN с ограни- ченными правами доступа к кор- поративным информационным системам. Связь NAC и Zero Trust В рамках концепции нулевого доверия необходимо отслежи- вать все попытки обращения пользователя к корпоративным ресурсам и принимать решения об их правомерности. NAC делать этого не может, но он интегрируется с большим коли- чеством различных решений, включая такие корпоративные системы безопасности, как DLP и межсетевые экраны. В зави- симости от рассчитанных для компьютера показателей риска NAC определяет используемые для него политики безопасности и, например, дает файрволу команду ограничить доступ к определенным информацион- ным системам. У NAC есть два вида проверок – Preconnection и Postconnection. Если он разрешил устройству доступ в сеть или к корпоратив- ным ресурсам, это вовсе не означает, что доступ открыт на неограниченный срок. Соответ- ствие компьютера политикам безопасности будет периодиче- ски проверяться по заданному алгоритму. NAC позволяет задать, например, правило, тре- бующее установки DLP-агента или агента MDM для мобильного устройства. В случае отсутствия нужного ПО критичные ИТ- системы будут недоступны поль- зователю, а офицер безопасно- сти получит уведомление о про- изошедшем событии. Zero Trust – это концепция, реализовать которую можно с помощью разнообразных средств обеспечения информа- ционной безопасности. Когда персонал находится в офисе, особых проблем с проверкой рабочих компьютеров не возни- кает. Как только внутри защи- щенного периметра появляется большое количество подключен- ных через сети общего пользо- вания личных устройств, ситуа- ция меняется. В условиях само- изоляции NAC становится обя- зательным инструментом для реализации модели безопасно- сти с нулевым доверием. l • 41 ЗАЩИТА СЕТЕЙ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru В предвкушении работы над ошибками 2020 год в самом разгаре, мы все строили на него большие планы. Но теперь фокус внимания сосредо- точен на совсем других вызовах, их диктует общеми- ровая повестка в связи с пандемией коронавируса. Пандемия заставила нас всех взглянуть на свою инфраструктуру под новым углом. Именно сейчас у нас появилась редкая возможность проверить в стрессовых условиях эффективность проведенной работы по планированию и проектированию сете- вого периметра. Ведь все мы так долго и упорно его выстраивали, имея роскошь находиться на рабочем месте в уютном офисе. Отсюда следующий логический шаг связан с самым уязвимым местом даже в самой надежной инфраструктуре – пользователем. Мы проходим хорошее испытание, экстренно переводя наших пользователей на удаленную работу: кто-то оказался к этому в большей степени готов, кому-то пришлось спешно приводить себя в такую готовность, пока бизнес-процессы не прекратили функционировать. Но, несмотря на в целом успеш- ное выполнение этой задачи, многие из нас смогли выявить серьезные проблемы в своем периметре, взглянув на него под новым углом. И далее нам всем предстоит увлекательная работа над ошибками, направленная на приведение своих систем в соответствие с потребностями, диктуемыми новыми реалиями жизни. Из положи- тельных моментов можно отметить то, что теперь руководство, пожалуй, не будет так скептически смотреть на затраты, идущие на решение задач информационной безопасности, защиты периметра, обучения персонала основам ИБ. Сейчас бизнес как никогда зависим от нашего правильного выбора дальнейшей стратегии разви- тия информационных систем и инфраструктуры. l Сергей Рысин, эксперт по информационной безопасности Колонка редактора Реклама