Журнал "Information Security/ Информационная безопасность" #3, 2021

уровне доступа к сети и, возможно, отдельным сервисам, зачастую только к тем, что опубликованы за традицион- ным периметром. Что касается защиты конкретных акти- вов, приложений и сервисов, то зрелые модели использования технического инструментария для реализации Zero Trust декларируются в основном рос- сийскими филиалами зарубежных ком- паний, хотя и у них руки до практики не всегда доходят. Например, недавно подобный кейс был у компании Varonis, которая обес- печила автоматизацию управления киберрисками и повысила уровень кибер- безопасности во Всероссийском банке развития регионов (ВБРР). Внедрение решений вендора позволило ВБРР при- вести систему безопасности к соответ- ствию модели наименьших привилегий (и иной части модели нулевого доверия) за счет использования как стандартного функционала анализа прав доступа и обнаружения критичных данных, так и поведенческого анализа, позволяющего при необходимости повторно произво- дить проверку доверия к подозрительно себя ведущим учетным записям. Пациент скорее жив Несмотря на довольно печальную ситуацию с внедрением практических решений вне сетевого сегмента, интерес к модели Zero Trust у российских компа- ний и организаций начинает расти. Очень популярны, в частности, много- факторная аутентификация (MFA – Multi- Factor Authentication) и микросегментация на уровне доступа между сетями, необхо- димость которых мы вовсе не подверга- ем сомнению. Конечно, подобные реше- ния относятся не к данным как таковым, а скорее к периметрам для ограничения доступа к ним. Но движение в сторону новых технологий для ограничения доступа к данным и критичным серви- сам – хороший шаг. Сегодня самая актуальная задача – довести до сведения заказчиков, что Zero Trust представляет собой намного большее, нежели просто сетевой доступ и усиленное пограничное подтверждение легитимности доступа. И первые шаги в правильном направлении уже делаются. Российские специалисты начинают пони- мать, что многофакторная аутентифи- кация и другие частные решения – всего лишь отдельные слои, усложняющие атакующим доступ за счет проведения проверок, повышающих уровень доверия к действующему лицу или резко его снижающих при непрохождении одного или нескольких из контролей. От частного к общему Когда мы начинаем предоставлять пользователям доступ к файловым акти- вам конкретного сервера гранулярно, обычно все настраивается на уровнях сетевых папок и файловой системы (чаще всего – NTFS). Группы, политики, списки контроля доступа в пер- возданном виде, без оши- бок, связанных с челове- ческим фактором, рабо- тают в небольшой сети очень малого предприятия с количеством уникальных прав на папках, которые можно пересчитать по пальцам, но в ИТ-инфра- структуре более крупных компаний, особенно сег- мента среднего или круп- ного бизнеса, ситуация намного сложнее и конт- ролировать процесс вруч- ную, даже на отдельно взятом сервере, уже невозможно, не говоря о более крупных разделенных системах хранения данных. Потребуется автоматизация учета прав доступа, а также поведенческий анализ для поиска формально легитимных нарушителей спокойствия. Одним из столпов Zero Trust является контроль доступа к данным, в котором "зашит" еще более старый принцип предоставления наименьших необхо- димых для выполнения рабочих функ- ций привилегий. Тот же принцип сле- дует применять и в ролевой модели при выдаче прав доступа к конкретным приложениям и их внутренним модулям. Нужно обеспечить для каждой отдель- ной учетной записи на основе ее биз- нес-роли и, возможно, дополнительных динамических условий доступ через конкретные группы безопасности толь- ко к тем данным и функционалу, что "здесь и сейчас" необходимы для реше- ния бизнес-задач. Использовать же для этого придется системы управления доступа к данным (DAG – Data Access Governance и более эффективные за счет добавления клас- сификации и поведенческого анализа DCAP – Data-Centric Audit and Protec- tion), а также комплексные проекты по внедрению систем заявок для автома- тизированного предоставления доступа по запросу. При этом можно начать с более простых систем заявок и интег- рировать их с более сложными, напри- мер с системами управления учетными записями и доступом (IdM/IAM – Identity Management/Identity and Access Mana- gement). Уже на этом этапе рекоменду- ется предоставлять доступы стандар- тизированно, на основе конкретных бизнес-ролей. Чтобы скомпрометированный компью- тер или пользователь не имел возмож- ности остаться на предыдущем уровне доверия, помимо системы реагирования на его подозрительную и, возможно, вредоносную деятельность стоит внед- рить многофакторную аутентификацию и развитые средства контроля доступа к сети (NAC – Network Access Control) и/или внешний брокер доступа к облач- ной среде (CASB – Cloud Access Security Broker), выполняющий примерно те же функции, но уже для облачных систем и приложений. При этом данные системы следует интегрировать между собой. Последние две упомянутые системы анализируют устройства, пытающиеся получить доступ, и вычисляют рейтинг безопасности с учетом их аппаратно- программной конфигурации, а также учетной записи, которая используется для попытки доступа. На основании заданных индикаторов риска к ним при- меняются политики безопасности для предоставления требуемого доступа, либо же устройства попадают в изоли- рованный сегмент для доступа к сред- ствам обеспечения возможности про- хождения проверки после их инсталля- ции и повторного проведения проверок, либо доступ блокируется. Доступ к ресурсам при этом откры- ваться должен вовсе не навсегда даже в течение сеанса подключения: неко- торые системы по определенному алго- ритму периодически могут проверять, не изменилось ли состояние безопас- ности подключенных устройств, а также принимать сигналы о необходимости проведения заново полного цикла про- верки. Конечно, это еще не полноцен- ное внедрение концепции Zero Trust, но уже достаточно весомый шаг в вер- ном направлении. Стоит всегда помнить о том, что сегодня атакующим для про- никновения в сеть требуется лишь нали- чие свободного времени и мотивации. Понимая это, нужно выстраивать внут- ренние барьеры и кропотливо отсле- живать все происходящее, чтобы выявить действия злоумышленников. Обеспечить достойный уровень защиты способна именно стратегия нулевого доверия, которая будет эффективна против утечек данных и современных киберугроз. l • 65 ЗАЩИТА СЕТЕЙ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru