Журнал "Information Security/ Информационная безопасность" #2, 2020

За 10 лет концепция Zero Trust развилась в целостный подход к кибербезопасно- сти, защищающий компании от известных и еще неизвестных угроз. Несмотря на то что тра- фик шифруется с помощью VPN, компьютеры могут быть заражены клавиатур- ными агентами и другим шпионским ПО, шифроваль- щиками, вымогателями и прочими опасными зло- вредами, и VPN здесь не поможет. Проще всего защи- титься от угроз тем заказчикам, которые заранее начали внед- рять концепцию нулево- го доверия (Zero Trust). В условиях, когда дис- танционная работа стала дол- говременным трендом, ее значение для сферы ИБ воз- растает многократно. Концепция Zero Trust Модель безопасности с нуле- вым доверием была разрабо- тана бывшим аналитиком For- rester Джоном Киндервагом в 2010 г. и с тех пор стала одной из основных отраслевых концепций. Преимущество Zero Trust заключается в отсутствии необходимости строить деталь- ную модель угроз, поскольку угроза может исходить откуда угодно: от каналов передачи данных, от активного сетевого оборудования, от внешних сер- висов и корпоративных инфор- мационных систем, от сотруд- ников и контрагентов. За 10 лет концепция Zero Trust развилась в целостный подход к кибербе- зопасности, защищающий ком- пании от известных и еще неизвестных угроз. Для реали- зации модели используются различные инструменты и тех- нологии, включая межсетевые экраны, системы DLP и MDM, поведенческий анализ и многое другое. Новые угрозы в режиме самоизоляции Бытует мнение, будто для организации доступа в корпо- ративную сеть извне достаточ- но организовать VPN, а дальше будут работать внедренные ранее решения. На самом деле виртуальная частная сеть – не панацея, а имеющиеся продук- ты не рассчитаны на большое количество удаленных пользо- вателей. Внутри защищенного периметра эти средства рабо- тают, но сотрудники подклю- чаются с личных устройств, для которых корпоративные политики безопасности ничего не значат. Несмотря на то что трафик шифруется с помощью VPN, компьютеры могут быть заражены клавиатурными агентами и другим шпионским ПО, шифровальщиками, вымо- гателями и прочими опасными зловредами, и VPN здесь не поможет. Трафик в сетях общего поль- зования может быть перехвачен с использованием атак типа Man in the Middle (человек посе- редине), особенно если поль- зователь подключился к пуб- личному Wi-Fi, а ведь данные для входа в VPN также могут быть скомпрометированы. Иными словами, даже если в компании практикуется модель безопасности с нулевым дове- рием, для обеспечения дистан- ционной работы в нынешних условиях потребуются специ- альные средства контроля. Решаем проблему малой кровью Небольшой компании доста- точно выдать сотрудникам кор- поративные ноутбуки или раз- вернуть сервис терминалов (Remote Desktop Services, или RDS) и перейти на тонкие кли- енты. Его нетрудно запустить как внутри защищенного пери- метра, так и на арендованных площадях или даже на VDS. При этом не придется платить за клиентские терминальные лицензии Windows: корпорация Microsoft позволяет использо- вать RDS в ознакомительном режиме в течение 120 дней (скорее всего, этого хватит на время действия режима само- изоляции). Обеспечить безопас- ность в таком варианте намного проще, поскольку личные ком- пьютеры будут работать только с одной машиной и только по протоколу RDP, а доступ к защищенным корпоративным ресурсам придется контроли- ровать только с одного сервера. У клиентов в их виртуальных рабочих столах будет унифици- рованный софт, то есть про- блемы с различными аппарат- но-программными конфигура- циями также уходят. Для нескольких десятков пользова- телей такое решение годится, но в крупных компаниях счет пользователей часто идет на тысячи, а потому простейшие решения оказываются довольно сложными и/или затратными. Внедряем NAC Использование личных машин сотрудников для удаленного доступа – суровая необходи- мость для среднего и крупного бизнеса. Иногда в этом случае департамент ИБ пытается про- писать некие политики безопас- ности на бумаге, скажем корпо- ративные информационные системы нельзя использовать с компьютера без установленного антивируса. Но даже если раз- дать всем корпоративные лицен- зии, нет никакой гарантии, что 40 • ТЕХНОЛОГИИ Сетевой фейсконтроль, или Роль NAC в эпоху Zero Trust режиме самоизоляции бизнес активно переводит сотрудников на удаленную работу и получает дополнительные проблемы с информационной безопасностью. Когда большое количество пользователей обращается к корпоративным ресурсам с домашних компьютеров, к привычным уже трудностям с бюджетированием и нехваткой кадров добавляются дополнительные риски. В Яков Гродзенский, директор департамента информационной безопасности компании “Системный софт”