Журнал "Information Security/ Информационная безопасность" #4, 2025

72 • СПЕЦПРОЕКТ попасть критичный сервис или рабочая станция топ-менеджмента. Поэтому нор- мальная реализация всегда строится на нескольких уровнях: для жестких инци- дентов NAC отрабатывает автоматом, для серых зон включается режим уве- домления и ручного подтверждения. Пол- ный ручной режим – это лишние минуты MTTR и шанс на боковое перемещение; безусловный автокилл-свитч – риск обру- шить бизнес-процессы из-за ложнополо- жительных срабатываний. Оптимальная модель – поэтапное ограничение доступа: сначала динамические ACL/CoA и перевод в карантинную VLAN с доступом только к средствам очистки, затем – полная бло- кировка порта или SSID при подтвер- жденном инциденте. Триггеры должны опираться на корреляцию нескольких источников и учитывать контекст актива. Для критичных узлов применяют серый карантин или временную изоляцию с воз- можностью оверрайда, чтобы сохранить скорость автоматической реакции и при этом контролировать риски. Иван Рогалев, BI.ZONE Автоматическая изоляция устройств NAC по сигналам XDR или SOAR воз- можна и часто применяется, но требует осторожности. При отсутствии валидации есть риск ложных срабатываний и бло- кировки критичных сервисов. Оптималь- ный подход – многоуровневый: для явно подтвержденных инцидентов допускает- ся автоматическая изоляция, для неоче- видных случаев – перевод в ограничен- ный сегмент или эскалация аналитику SOC. Это снижает риски и сохраняет баланс между скоростью и надежностью реагирования. Александр Черных, Angara Security Любое автоматическое принятие реше- ний несет риски ложных срабатываний. Оптимальным решением будет исполь- зование гибридного подхода, который сочетает в себе автоматизацию и эле- менты человеческого контроля. Автома- тический режим возможен, но требуется тщательная настройка правил. Николай Санагурский, Axel PRO Да, автоматическая изоляция необхо- дима для скорости реакции. Это оправ- данно при выполнении условий: l высокая достоверность сигнала от XDR/SOAR (например, обнаружение про- грамм-вымогателей или горизонтального перемещения); l жесткие, предварительно утвержден- ные, политики действий по анализу и реагированию на конкретные типы инцидентов, определяющие четкие кри- терии изоляции; l не блокировка, а карантин – переме- щение в изолированный сегмент для анализа, чтобы не нарушить бизнес- процессы; l человеческий надзор для сложных или спорных инцидентов средней тяжести. Виталий Даровских, UserGate Считаю, что да, может. Но насколько эта изоляция будет строгая – другой вопрос. Чтобы избежать негативного сценария при False Positive-сигнале, можно ограничить хост частично: напри- мер, дать доступ к DMZ (демилитаризо- ванная зона, из которой, допустим, читать почту можно, но отправить письмо уже нельзя). То есть уровень автоматического реагирования должен быть разным. Евгений Варламов, "Газинформсервис" Решения NAC отличаются гибкостью в части настроек политик безопасности. Поэтому в одном случае (например, гостевой доступ) может быть настроен автоматический перевод в карантин в случае выявления подозрительной активности, а в другом (когда отключе- ние конечной точки от целевого сег- мента сети приводит к высоким про- изводственным рискам) – использовать- ся режим информирования оператора с дальнейшим принятием решения чело- веком. Евгений Свиридов, iTPROTECT Все зависит от внутреннего подхода к ИБ в компании. Автоматическая изоля- ция эффективна, но требует зрелых про- цессов. Высок риск ложных срабатыва- ний, которые нарушат бизнес-процессы. Поэтому идеальная модель – автомати- ческое получение сигналов от XDR/SOAR с последующим утверждением реакции аналитиком SOC. Если в компании есть внутренний SOC, который оперативно реагирует на инциденты, то такие про- верки лучше оставить ему до полной отладки политик и автоматизации. Виталий Даровских, UserGate NAC не перестанет быть отдельным решением даже через 5 лет. Так как Zero Trust – это концепция, а не класс решений. Скорее, Zero Trust поменяется на ZTRA. Но NAC будет актуален и в будущем как достаточно внушительная часть этой концепции. Евгений Варламов, "Газинформсервис" Не исключено, что завтра специалисты Gartner придумают новую аббревиатуру – это может повлиять на позициониро- вание и маркетинг, но вот решаемые задачи, скорее всего, останутся теми же. Поэтому мне кажется, что и через 5 лет вопросы обеспечения централизо- ванного контроля доступа в сеть и на оборудование, аутентификации и авто- ризации пользователей и устройств по- прежнему останутся актуальными. Александр Черных, Angara Security Со временем NAC-решения не поте- ряют своей автономии и значимости даже в условиях активного развития и внедрения комплексной архитектуры Zero Trust. NAC станет интегрированным компонентом Zero Trust-платформ, при этом сохранив роль отдельного решения и продолжая играть ключевую роль в обеспечении сетевой безопасности. Николай Санагурский, Axel PRO Через 5 лет NAC, вероятно, станет исполнительным механизмом внутри комплексных Zero Trust-платформ. Его уникальная функция – контроль на сете- вом уровне (L2/L3) и работа с IoT/BYOD – сохранится, управление политиками будет централизовано в едином орке- страторе. Это обеспечит сквозную без- опасность: решение о доступе будет приниматься на основе данных от IAM, XDR, SIEM, а NAC будет автоматически управлять доступом. Михаил Спицын, "Газинформсервис" Через 5 лет NAC не исчезнет. Учитывая тенденцию к экосистемным подходам в ИБ, NAC, вполне вероятно, окажется в составе решений или даже комплексной платформы и при этом не потеряет значи- мости. Когда минимизируется время внед- рения и интеграции, появится возмож- ность предлагать заказчикам быстрое развертывание ZTN-парадигмы, в которую входят NAC, IGA, EDR, SD-WAN и др. В рамках взаимодействия этих систем именно NAC берет на себя первичное профилирование устройств и пользова- телей, задавая исходный уровень доверия для всей экосистемы Zero Trust. Иван Рогалев, BI.ZONE Через 5 лет NAC, скорее всего, не исчезнет, но будет интегрироваться в комплексные платформы. Рынок дви- жется к объединению функций: VPN, NAC, EDR и других средств в единое решение. NAC сохранит ценность для контроля подключений внутри сети, однако как отдельный продукт будет встречаться реже. Для заказчиков важ- нее видеть целостный подход к построе- нию модели нулевого доверия, а не только отдельные технологии. Евгений Свиридов, iTPROTECT Через 5 лет NAC останется критически важным компонентом ИБ, но эволюцио- нирует. В качестве самостоятельного решения он сохранится в нишах, тре- бующих глубокого сетевого контроля (производство, IoT). Однако главный тренд – глубокая интеграция в платфор- мы Zero Trust, где NAC станет приврат- ником, обеспечивающим аутентифика- цию и сегментацию перед предоставле- нием доступа к приложениям. l Через 5 лет NAC будет самостоятельным классом решений или растворится внутри комплексных плат- форм для Zero Trust?