Журнал "Information Security/ Информационная безопасность" #2, 2020

Для того чтобы корректно минимизировать риски BYOD, в ИБ-инфраструктуре организации должна быть в полной мере реализована функциональность интел- лектуального управления доступом к сети (Network Access Control, NAC). Стоит отметить, что, выбирая решение NAC, необходимо в том числе быть уверенным в возмож- ности его полноценной интеграции с существую- щим ИТ-окружением. пор не было. В результате такой компьютер может быть уже неоднократно заражен зловред- ным ПО, что делает его потен- циальной точкой входа для про- никновений с целью компроме- тации конфиденциальной информации. Умная защита для BYOD Для того чтобы корректно минимизировать эти и другие риски BYOD, в ИБ-инфраструк- туре организации должна быть в полной мере реализована функциональность интеллекту- ального управления доступом к сети (Network Access Control, NAC). Такое ПО предлагают сейчас все крупные производи- тели средств сетевой защиты: Cisco, Juniper, Microsoft, Syman- tec, Trend Micro. В свое время эти системы создавались имен- но для облегчения перевода бизнес-процессов на схему BYOD. Но в какой-то момент заказчики все чаще стали внед- рять и перепрофилировать их под более перспективные зада- чи, такие как Интернет вещей. В результате, хотя в большин- стве компаний и реализованы так называемые AAA-процессы (аутентификация, авторизация и аудит), относящиеся к ИБ, не у всех до сих пор задействуется рабочий инструментарий, кото- рый позволял бы аутентифици- ровать профили безопасности конечных устройств. В нынешних условиях ИТ- службам следует по максимуму использовать системы управ- ления сетевым доступом в соот- ветствии с их первоначальным назначением. В NAC предусмот- рены механизмы контроля и проверки любого устройства, которое пытается получить доступ к корпоративной сети, на соответствие политикам без- опасности. В случае несоответ- ствия система автоматически запустит на нем определенные процедуры нормализации пара- метров доступа в соответствии с внутренними требованиями ИБ. Если же такое согласование осуществить не удастся, то NAC заблокирует для данного устройства доступ к корпора- тивной сети. Возможен и другой вариант: устройство, не полностью соот- ветствующее политикам ИБ, получит ограниченный доступ к сети, например к изолирован- ным областям, не содержащим критически значимой информа- ции. Правда, для этого корпо- ративная сеть должна быть сег- ментирована по подразделе- ниям или уровням доступа, либо в рамках традиционных подхо- дов с использованием вирту- альных сетей (VLAN) и данных из каталога Active Directory, либо с помощью программно определяемых методов, напри- мер на основе технологии Cisco TrustSec. Стоит отметить, что, выбирая решение NAC, необходимо в том числе быть уверенным в возможности его полноценной интеграции с существующим ИТ-окружением. Между тем такая проверка – довольно тру- доемкий процесс, и если ее провести некорректно, то можно не получить от NAC нужной эффективности из-за функцио- нальных ограничений. Поэтому для внедрения систем интел- лектуального управления досту- пом к сети лучше привлекать специализированные компании, которые обладают необходимой квалификацией и опытом в сфере информационной без- опасности. Дополнительные меры Помимо NAC организациям также следует обратить внима- ние еще на два класса решений, нацеленных на контроль дей- ствий пользователей: это систе- мы управления мобильными устройствами (Mobile Device Management, MDM) и защиты от информационных утечек (Data Leak Prevention, DLP). Так, MDM-функциональность позво- ляет обеспечить безопасность и защищенность самих пере- носных устройств удаленных пользователей, например пред- отвращая потерю данных при краже смартфона, планшета или ноутбука. В свою очередь, DLP-системы дают организации возможность анализировать поведение своих работников: куда отправляется конфиден- циальная информация, не нару- шает ли пользователь предпи- санные правила информацион- ного обмена. С их помощью можно даже проанализировать, на что тратится рабочее время сотрудников. Конечно, данные меры вряд ли являются перво- степенными, однако их можно рассматривать как вторую сту- пень ИБ после четко отстроен- ного каркаса безопасности при организации удаленной работы сотрудников. И безусловно, технические процедуры будут максимально результативными, только если их подкреплять организацион- ными действиями: вводить внутрикорпоративные регла- менты и инструкции по работе в удаленном режиме, оформ- лять дополнительные соглаше- ния с работниками об исполь- зовании конфиденциальной информации, проводить общие мероприятия по разъяснению ответственности при работе с корпоративными ресурсами, сервисами и данными вне офиса. Таким образом, именно комплексный подход и скрупу- лезный учет всех деталей поз- воляет организации оптималь- ным образом выстроить модель безопасной "удаленки" не толь- ко на краткосрочную перспек- тиву, но и на более долгий период. l • 39 ЗАЩИТА СЕТЕЙ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru