Сетевой фейсконтроль, или Роль NAC в эпоху Zero Trust

В режиме самоизоляции бизнес активно переводит сотрудников на удаленную работу и получает дополнительные проблемы с информационной безопасностью. Когда большое количество пользователей обращается к корпоративным ресурсам с домашних компьютеров, к привычным уже трудностям с бюджетированием и нехваткой кадров добавляются дополнительные риски.

Автор: Яков Гродзенский, директор департамента информационной безопасности компании “Системный софт”

Проще всего защититься от угроз тем заказчикам, которые заранее начали внедрять концепцию нулевого доверия (Zero Trust). В условиях, когда дистанционная работа стала долговременным трендом, ее значение для сферы ИБ возрастает многократно.

Концепция Zero Trust

Модель безопасности с нулевым доверием была разработана бывшим аналитиком Forrester Джоном Киндервагом в 2010 г. и с тех пор стала одной из основных отраслевых концепций. Преимущество Zero Trust заключается в отсутствии необходимости строить детальную модель угроз, поскольку угроза может исходить откуда угодно: от каналов передачи данных, от активного сетевого оборудования, от внешних сервисов и корпоративных информационных систем, от сотрудников и контрагентов. За 10 лет концепция Zero Trust развилась в целостный подход к кибербезопасности, защищающий компании от известных и еще неизвестных угроз. Для реализации модели используются различные инструменты и технологии, включая межсетевые экраны, системы DLP и MDM, поведенческий анализ и многое другое.

Новые угрозы в режиме самоизоляции

Бытует мнение, будто для организации доступа в корпоративную сеть извне достаточно организовать VPN, а дальше будут работать внедренные ранее решения. На самом деле виртуальная частная сеть – не панацея, а имеющиеся продукты не рассчитаны на большое количество удаленных пользователей. Внутри защищенного периметра эти средства работают, но сотрудники подключаются с личных устройств, для которых корпоративные политики безопасности ничего не значат. Несмотря на то что трафик шифруется с помощью VPN, компьютеры могут быть заражены клавиатурными агентами и другим шпионским ПО, шифровальщиками, вымогателями и прочими опасными зловредами, и VPN здесь не поможет.

Трафик в сетях общего пользования может быть перехвачен с использованием атак типа Man in the Middle (человек посередине), особенно если пользователь подключился к публичному Wi-Fi, а ведь данные для входа в VPN также могут быть скомпрометированы. Иными словами, даже если в компании практикуется модель безопасности с нулевым доверием, для обеспечения дистанционной работы в нынешних условиях потребуются специальные средства контроля.

Решаем проблему малой кровью

Небольшой компании достаточно выдать сотрудникам корпоративные ноутбуки или развернуть сервис терминалов (Remote Desktop Services, или RDS) и перейти на тонкие клиенты. Его нетрудно запустить как внутри защищенного периметра, так и на арендованных площадях или даже на VDS. При этом не придется платить за клиентские терминальные лицензии Windows: корпорация Microsoft позволяет использовать RDS в ознакомительном режиме в течение 120 дней (скорее всего, этого хватит на время действия режима самоизоляции). Обеспечить безопасность в таком варианте намного проще, поскольку личные компьютеры будут работать только с одной машиной и только по протоколу RDP, а доступ к защищенным корпоративным ресурсам придется контролировать только с одного сервера. У клиентов в их виртуальных рабочих столах будет унифицированный софт, то есть проблемы с различными аппаратно- программными конфигурациями также уходят. Для нескольких десятков пользователей такое решение годится, но в крупных компаниях счет пользователей часто идет на тысячи, а потому простейшие решения оказываются довольно сложными и/или затратными.

Внедряем NAC

Использование личных машин сотрудников для удаленного доступа – суровая необходимость для среднего и крупного бизнеса. Иногда в этом случае департамент ИБ пытается прописать некие политики безопасности на бумаге, скажем корпоративные информационные системы нельзя использовать с компьютера без установленного антивируса. Но даже если раздать всем корпоративные лицензии, нет никакой гарантии, что сотрудники выполнят это требование. Без специального решения невозможно проверить соответствие домашних машин корпоративной политике безопасности, для этого стоит внедрить агентское или безагентское решение класса NAC.

Система будет анализировать каждый пытающийся подключиться к сети компьютер или мобильное устройство и вычислять для него определенный рейтинг безопасности. Отслеживаться могут самые разные показатели: версия операционной системы, наличие установленных обновлений, наличие антивирусных программ с актуальными базами или агентов MDM и DLP, настройки межсетевого экрана и многое другое. Для клиентского устройства рассчитываются индикаторы риска, а затем к нему применяются политики безопасности. Можно, например, поместить его в отдельный VLAN с ограниченными правами доступа к корпоративным информационным системам.

Связь NAC и Zero Trust

В рамках концепции нулевого доверия необходимо отслеживать все попытки обращения пользователя к корпоративным ресурсам и принимать решения об их правомерности. NAC делать этого не может, но он интегрируется с большим количеством различных решений, включая такие корпоративные системы безопасности, как DLP и межсетевые экраны. В зависимости от рассчитанных для компьютера показателей риска NAC определяет используемые для него политики безопасности и, например, дает файрволу команду ограничить доступ к определенным информационным системам.

У NAC есть два вида проверок – Preconnection и Postconnection. Если он разрешил устройству доступ в сеть или к корпоративным ресурсам, это вовсе не означает, что доступ открыт на неограниченный срок. Соответствие компьютера политикам безопасности будет периодически проверяться по заданному алгоритму. NAC позволяет задать, например, правило, требующее установки DLP-агента или агента MDM для мобильного устройства. В случае отсутствия нужного ПО критичные ИТ-системы будут недоступны пользователю, а офицер безопасности получит уведомление о произошедшем событии.

Zero Trust – это концепция, реализовать которую можно с помощью разнообразных средств обеспечения информационной безопасности. Когда персонал находится в офисе, особых проблем с проверкой рабочих компьютеров не возникает. Как только внутри защищенного периметра появляется большое количество подключенных через сети общего пользования личных устройств, ситуация меняется. В условиях самоизоляции NAC становится обязательным инструментом для реализации модели безопасности с нулевым доверием.