Журнал "Information Security/ Информационная безопасность" #4, 2025

является использование рабочих станций под управлением устаревших и более не поддерживаемых операционных систем. Они не получают критически важные обновления безопасности, что делает их уязвимыми к современным методам атак и инструментам, которые находятся в арсенале злоумышленников. Безопасность конечных устройств должна быть одним из приоритетных направлений в рамках общей стратегии обеспечения безопасности любой ком- пании. Каждое устройство, которое под- ключается к корпоративной сети, должно соответствовать установленным в орга- низации требованиям и политикам. Минимальный набор критериев такого соответствия может состоять из исполь- зуемой актуальной версии операционной системы со всеми доступными обновле- ниями безопасности, наличия корпора- тивного антивирусного решения с регу- лярно обновляемыми антивирусными базами. Данные меры должны рассмат- риваться как обязательные условия при принятии решения о предоставлении конечному устройству доступа ко внут- ренним ресурсам. Политики доступа Учитывая, что конкретный сетевой сег- мент может рассматриваться как объект, к которому осуществляется доступ, а сово- купность пользователя и используемого им устройства – как субъект, становится возможным формирование детализиро- ванной политики доступа, которая осно- вывается на параметрах подключения. Такая политика может учитывать мно- жество факторов, позволяя реализовать гибкую модель управления доступом, значительно повышая уровень защи- щенности сетевой инфраструктуры. Правила подключения могут форми- роваться с учетом контекста, опреде- ляемого различными параметрами под- ключения, а также могут быть адапти- рованы в зависимости от конкретной ситуации и уровня риска. Контекст может включать в себя следующие ключевые характеристики: l Способ подключения. Беспроводные соединения могут быть менее защи- щенными по сравнению с проводными, а удаленный доступ посредством VPN требует еще больше дополнительных механизмов контроля. l Используемые протоколы аутентифи- кации. Внедрение сертификатов обес- печивает более высокий уровень без- опасности по сравнению с использова- нием логина и пароля (EAP-PEAP). l Принадлежность пользователя к какой-либо группе, например во внеш- нем каталоге пользователей. l Тип оборудования. Подключаемое устройство должно быть идентифици- ровано и отнесено к определенному профилю, в зависимости от которого может быть предоставлен различный уровень доступа к сетевым ресурсам. Например, зарегистрированная рабочая станция, личное устройство сотрудника или принтер. l Оценка соответствия устройства, кото- рая определяется на основании проверки соблюдения со стороны АРМ требований внутренних стандартов: наличие акту- альных обновлений, антивирусной защи- ты и т.п. Несоответствие минимальным требованиям должно стать основанием для ограничения доступа и помещения устройства в карантин. l Через какое сетевое оборудование осуществляется подключение и где оно физически расположено – помогает определить уровень доверия к подключе- нию. Это лишь малая часть параметров, которые в совокупности позволяют выстраивать динамическую и контекст- но-зависимую модель управления досту- пом к участкам корпоративной сети. Реализация такой модели возможна средствами систем контроля доступа к сети (Network Access Control, NAC). Такие системы, включая решение Blazar NAC 1 , способны учитывать указанные аспекты при принятии решений о предо- ставлении или ограничении доступа, а также адаптировать политики в зави- симости от потребностей и происходя- щих изменений в бизнес-процессах. Таким образом, правила подключения могут и должны отличаться в зависимо- сти от контекста, что критически важно для обеспечения безопасности инфра- структуры за счет возможности гибкой настройки доступа для различных типов устройств и пользователей. Заключение Необходимо признать, что несмотря на внедрение современных средств без- опасности, множество которых пред- ставлено на рынке, стопроцентную защи- ту от целенаправленных атак, непред- намеренных или случайных инцидентов гарантировать невозможно. Применение системы Blazar Network Access Control позволяет значительно повысить уровень защищенности сетевой инфраструктуры и минимизировать последствия возможных инцидентов. Даже в случае успешной атаки NAC существен- но ограничивает возможный ущерб. За счет изоляции отдельных участков даже в случае успешной компрометации зло- умышленник не сможет беспрепятственно перемещаться по сети и получать доступ ко всем ресурсам, а вредоносное ПО не сможет распространяться за пределы зараженного сегмента. Таким образом, воздействие на бизнес-процессы будет сведено к минимуму и затронет лишь малую часть инфраструктуры. Использование NAC превращает сеть в контролируемое пространство, спо- собное противостоять большинству современных угроз. l • 59 ЗАЩИТА СЕТЕЙ www.itsec.ru Рис. Схема работы Blazar Network Access Control после внедрения АДРЕСА И ТЕЛЕФОНЫ ANGARA SECURITY см. стр. 84 NM Реклама 1 https://nac.angarasecurity.ru/ Рисунок: Angara Security