Журнал "Information Security/ Информационная безопасность" #4, 2025

• 71 ЗАЩИТА СЕТЕЙ www.itsec.ru Евгений Свиридов, iTPROTECT Интеграция потребует некоторых усилий при внедрении, но и даст более широкие возможности. Поэтому ответ может быть только один: конечно лучше интегриро- вать. Когда средства защиты работают вместе, безопасность и контролируемость инфраструктуры существенно повышают- ся. Но есть подвох: а могут ли существую- щие на российском рынке NAC-решения интегрироваться с XDR и DLP? Звучит пока не очень реалистично. Но, например, интеграция NAC с SIEM была бы очень полезна и, главное, вполне реализуема. Михаил Спицын, "Газинформсервис" NAC должен оставаться автономным барьерным уровнем, который работает даже при отказе других компонентов, иначе теряется сама идея контроля на границе. Однако это не отменяет возмож- ности интеграции, например нативно NAC предлагает интеграцию с SIEM, а XDR обычно тянет данные из него. Организация взаимоинтеграции с IAM – это автомати- зация управления доступом к учетным записям в кросс-системном формате, которая только на руку заказчику. С DLP связка также возможна, но задачи у решений разные, и такая связка обычно выходит избыточной и ресурсоемкой. Евгений Варламов, "Газинформсервис" Самые большие и дорогие ошибки связаны с отсутствием этапа проекти- рования и, как следствие, непрорабо- танные требования к архитектуре построения системы NAC. Виталий Даровских, UserGate Самая распространенная ошибка – это иллюзия того, что NAC внедряется легко. Если заказчик закладывает на внедрение небольшие сроки, то, к сожа- лению, это значит, что заказчик не совсем понимает, что такое NAC. Даже на пилотирование NAC времени может потратиться в три раза больше, чем планировалось. Это связано с настрой- кой правил, многообразием сетевого оборудования от разных вендоров, зоо- парком конечных точек. Стоит также учитывать фактор конфликта ИТ- и ИБ- отделов, ведь NAC стоит на стыке сете- вых функций и функций безопасности. Станислав Калабин, Axel PRO Самой большой ошибкой может стать неправильное расположение серверов NAC по площадкам. Если все ресурсы компании расположены в ЦОДе, то размещение сер- веров NAC на площадках не имеет никакого смысла, а их отсутствие в ЦОД (где на портах также применяется NAC) приводит к существенному усложнению аварийно- восстановительных работ. Иван Рогалев, BI.ZONE Наиболее частая ошибка при внедре- нии – запуск NAC в блокирующем режи- ме без предварительного тестирования и поэтапного развертывания. Это при- водит к сбоям в работе легитимных пользователей и сервисов. Корректный подход – поэтапная реализация: инвен- таризация активов, режим мониторинга, пилотные зоны и лишь затем постепен- ное расширение политик на всю сеть. Евгений Свиридов, iTPROTECT Учитывая важность систем NAC, к их внедрению необходимо подходить толь- ко после тщательного планирования. Нужно предусмотреть отказоустойчи- вость системы, обеспечить Bypass на случай инцидентов. Еще лучше провести пилотный запуск на небольшом сегмен- те. Что касается функциональных тре- бований, то грубой ошибкой является внедрение системы без настройки поли- тик, связанных с проверкой compliance для конечных устройств. Денис Бандалетов, Angara Security Частая ошибка при внедрении NAC – отсутствие регулярной актуализации политик безопасности и слабая коммуни- кация между ИТ и ИБ. Чтобы ее избежать, важно своевременно учитывать новые угрозы, проводить инвентаризацию обо- рудования с целью обеспечения его совместимости с системой NAC, а также налаживать взаимодействие команд. Станислав Калабин, Axel PRO Да, это одна из основных задач NAC. Он позволяет полностью автонастроить и контролировать принесенное пользо- вателем устройство точно так же, как и корпоративное, включая все проверки на соответствие политикам ИБ. IoT- устройства могут быть зарегистрированы за конкретными пользователями и суще- ственно ограничиваться в рамках изо- лированных VLAN. Евгений Свиридов, iTPROTECT Проверка и идентификация устройств IoT и BYOD является одним из основных функциональных требований к системам NAC. Система идентифицирует устрой- ства по цифровым отпечаткам (MAC, ОС, поведение) и автоматически помещает их в отдельные сегменты сети со строгими политиками доступа. Это изолирует потен- циально уязвимые IoT-гаджеты и личные устройства сотрудников, предотвращая их перемещение по сети и ограничивая доступ только к необходимым ресурсам. У большинства вендоров есть готовые шаблоны для идентификации и проверки IoT-/BYOD-устройств, что ускоряет внед- рение и снижает ручную настройку. Виталий Даровских, UserGate Да, но это должно быть зрелое реше- ние NAC с RADIUS-сервером. В UserGate эта функциональность появится в пер- спективе ближайших лет. Евгений Варламов, "Газинформсервис" Если говорить о контроле доступа в сеть, то реально. Но безусловно NAC не панацея, и риски использования уста- ревших прошивок, паролей по умолча- нию и других распространенных проблем IoT-устройств сохраняются. Так же как и риски от использования собственных устройств. Для надежного предоставле- ния доступа в сеть по MAC-адресам помогает правильно настроенное про- филирование, а функция контроля MAC- адреса и порта оборудования усиливает защиту. Для дополнительного анализа и выявления аномалий нужно использо- вать решения класса NTA и UEBA. Михаил Спицын, "Газинформсервис" NAC способен контролировать IoT и BYOD за счет профилирования устройств. Это позволяет изолировать камеры, прин- теры и смартфоны в отдельные сегменты, выдавать им ограниченные права или направлять в карантинную VLAN. Про- блема в том, что такие устройства редко поддерживают 802.1X и работу с серти- фикатами, поэтому приходится исполь- зовать MAB или гостевой доступ. В результате контроль возможен, но он больше про ограничение рисков. Важно, что NAC позволяет изолировать такие устройства, жестко ограничивать им права и выводить в отдельные сегменты. Роман Полухин, Eltex Конечно реально. Контроль IoT- и BYOD-устройств достигается за счет обнаружения и профилирования, на котором специализируются NAC-реше- ния. Определение устройств выполняет- ся по разным атрибутам, например, MAC-адреса, DHCP-запросы и т. д. Михаил Спицын, " Газинформсервис" Риски есть, и главный – это ложные срабатывания, когда под нож может Какую самую большую ошибку при внедрении NAC вы видели на практике и как ее можно было избежать? Реально ли с помощью NAC обеспечить контроль IoT и BYOD? Должен ли NAC в автомати- ческом режиме изолиро- вать устройства по сигналу XDR или SOAR без участия человека, или это слишком рискованно?