Функции западных NAC-систем подходят российским заказчикам лишь на 20%

UserGate готовит к релизу решение класса NAC (Network Access Control) – UserGate Client. В ближайшие месяцы оно станет доступным для ознакомления. Какие требования предъявляют в России к NAC-системам? По каким причинам компании меняют подход к контролю доступа пользователей? Мнением с ComNews делится Виталий Даровских, менеджер по развитию продукта в UserGate.\[quote\] Контроль доступа – широкое направление, в рамках которого есть разные классы решений. Что принципиально отличает NAC-системы от смежных? \[/quote\] В понятие Network Access Control входят все решения для контроля и управления сетевым доступом. Однако смежные с ними продукты PAM, IDM, DLP выполняют лишь часть функций NAC. Например, PAM-системы (Privileged Access Management) защищают только критические доступы к важной инфраструктуре компании. В NAC-решениях задача всегда стоит шире – им важны все пользователи. Причем во всех смежных продуктах изначально нет контроля оборудования, с которого идет подключение к сети. Те же PAM, IDM, DLP нацелены на людей, тогда как NAC дополнительно мониторит их рабочие станции. И это очень важное отличие. Функция помогает с ретроспективным анализом инцидентов, а также позволяет своевременно реагировать на нежелательные события. Дополнительные данные помогают проводить более качественные расследования инцидентов и эффективную работу над ошибками. В борьбе меча и щита, как известно, меч всегда на шаг впереди. Поэтому стороне защиты нужно время для адекватной реакции на инцидент. А для этого надо обладать максимумом информации о доступах пользователей в сети и их оборудовании. \[quote\] Какие маркеры сегодня помогают отличить добросовестного пользователя от нелегитимного? \[/quote\] Для начала уточню, что даже если пользователь легитимен и он успешно подтверждает это, его устройство на момент подключения может быть скомпрометировано. Сам человек может не знать об этом. Поэтому об оборудовании нужно говорить отдельно. Но начнем с пользователя. У него, как известно, должен быть доступ к сети согласно штатному расписанию и другим регламентам. Здесь всегда важно придерживаться принципа необходимости и достаточности. Например, если бухгалтеру нужны только 1C с электронной почтой, то необходимо обеспечить доступ к этим сервисам, а к остальным – запретить. Если учетная запись сотрудника будет скомпрометирована, злоумышленники получат ограниченный доступ к ресурсам компании, что минимизирует ущерб. В целом маркеры легитимности пользователей разработаны давно и известны. Это связка логин-пароль, или так называемый фактор знания. Если мы говорим про многофакторную аутентификацию, то подключается фактор владения – обычно это телефон, на который приходит SMS или PUSH-уведомление. Также для таких целей используется смарт-карта. Пользователи применяют ее для санкционированного доступа к своему рабочему компьютеру или другому устройству. Меньше остальных маркеров пока распространены биометрические средства аутентификации и авторизации. Технология развивается, и на мой взгляд, в дальнейшем обеспечит более защищенный доступ пользователей. Хотя во многом безопасность этого метода зависит от того, как биометрические данные будут шифроваться и передаваться, смогут ли злоумышленники воздействовать на них со стороны или находясь в сети компании. Что касается оборудования, то маркеры здесь – такие классические элементы, как сертификат, установленный на рабочей станции, и доменное имя, которое учтено в службе каталогов. Кроме того, важен Mac-адрес. И хотя это не 100%-ная защита, но тоже часто используется при определении легитимности доступа пользователя. И наконец, проверяется сама точка входа в сеть – место, откуда идет подключение. Причем в работе с этим маркером важен контекст. Например, главный бухгалтер может подключаться из офиса или работать удаленно дома. Но если он неожиданно подключается из Африки или в два часа ночи, то ИБ-специалисту стоит насторожиться. \[quote\] Насколько изменилось отношение к NAC-системам во время пандемии? Получается, что массовый переход на удаленку повысил спрос на них?\[/quote\] Да, конечно, пандемия была одним из триггеров развития NAC-решений по всему миру. Безопасность удаленного доступа – одна из основных задач этого класса продуктов. Несколько лет назад они появились в России благодаря иностранным вендорам. Зарубежные игроки создали технологический стек и до недавнего времени оставались лидерами рынка NAC-систем в стране. Когда западные компании ушли, в России остались пользователи, их опыт и понимание технологий. Сейчас они понимают, какие именно NAC-решения им нужны, и охотно помогают нам в разработке продукта. \[quote\] Их ожидания отличаются от того, что предлагали зарубежные вендоры? \[/quote\] Заказчики заявляют, что функциональность иностранных NAC-решений была на 80% неактуальной. Именно поэтому пользователи сформировали свой золотой стандарт требований и транслируют их нам. Мы учитываем их ожидания – общаемся с заказчиками, передаем продукт им на тестирование и пилотирование, собираем обратную связь и вносим изменения. В общем, стараемся создать максимально полезный продукт.\[quote\] В чем особенность и специфика вашего NAC-решения?\[/quote\] UserGate Client во многом уникален и не совсем соотносится с аналогами NAC. Функциональность решения шире, и поэтому его нельзя причислить к какому-либо единому классу ИБ-продуктов. На текущий момент UserGate Client совмещает в себе функции NAC и EDR (Endpoint Detection & Response). Наш агент не только контролирует доступ пользователей, но и позволяет обеспечивать безопасность самого оборудования с помощью фаервола уровня у узла, входящего в решение. Благодаря этому мы можем аутентифицировать и проверять легитимность сотрудника при подключении, а также вести наблюдение за его рабочей станцией – проверять, безопасна ли она и можно ли пользователю работать с этого устройства. Также решение может отключать оборудование от сети, если на нем обнаружены факты компрометации или какая-то подозрительная активность. При этом UserGate Client, если смотреть шире, использует принцип нулевого доверия (Zero Trust Network Access – ZTNA) и возможности XDR (Extended Detection and Response). Принципы XDR реализуются в связке с другими основными продуктами UserGate, являясь важным источником информации и обогащения данных по инцидентам в сети. Так, например, UserGate Log Analyzer выполняет сбор данных всех событий в сети и проводит анализ этих данных. В разрозненном виде они могут не представлять собой существенной угрозы. Но как только информация аккумулируется в едином центре обработки, проявляется общая картина. Например, становится понятно, что в каком-то из офисов компании вдруг массово происходят некритичные события на оборудовании пользователей. И хотя на каждой рабочей станции ничего опасного не происходит, но в совокупности ситуация выглядит тревожно. UserGate Client – незаменимая часть концепции XDR, которая усиливает эффективность экосистемы наших продуктов. \[quote\] На каком этапе зрелости компании нужно принимать решение о покупке NAC? И почему?\[/quote\] Какого-то единого варианта здесь нет. Все заказчики приходят к такому решению по разным причинам. Я бы разделил их на три группы. Первый случай – когда заказчику надоедает хаос, который происходит в его сети. Он не понимает, кто из пользователей и куда именно заходит. В компании нет логирования событий. При этом подключиться к критической инфраструктуре может кто угодно. Бывает также, что все системы защиты настроены, но нелегитимные доступы пользователей к сети есть. При этом правила они отрабатывают некорректно, а способа обнаружения нелегитимного доступа нет. Причин может быть множество. Чтобы разобраться в них и избежать хаоса в будущем, компании приобретают NAC-решения. Второй случай – когда заказчики вырастают в размере, качестве, сложности своей инфраструктуры. Происходит эволюционное преобразование, которое приводит к органичному внедрению контроля доступа в сети. И третья ситуация, когда заказчик решает изменить стратегию управления доступами, – это наступление инцидентов. Именно после них в российских компаниях часто осознают, что они не контролируют свои сети и нужно это исправлять. Причем решение приобрести NAC-систему не зависит от размера организации. Даже небольшие банки регионального масштаба должны защищать КИИ и соответствовать стандартам отрасли, требованиям законодательства и регуляторов. В то же время NAC-решения часто рассматривают в крупных компаниях с территориальной распределенностью, где уже есть множество правил, ролей, разграничение доступа пользователей и т.д. И, пожалуй, сегодня это самые очевидные пользователи таких решений. Ссылка на источник