Российский разработчик в области кибербезопасности UserGate готовит к релизу решение класса NAC (Network Access Control) – UserGate Client. В ближайшие месяцы оно станет доступным для ознакомления.
Какие требования предъявляют в России к NAC-системам? По каким причинам компании меняют подход к контролю доступа пользователей? Своим мнением с изданием Cyber Media делится Виталий Даровских, менеджер по развитию продукта в UserGate.
Cyber Media: Контроль доступа – широкое направление, в масштабах которого существуют различные классы решений. Что принципиально отличает NAC-системы от смежных?
Виталий Даровских: В понятие Network Access Control входят все решения для контроля и управления сетевым доступом. Однако смежные с ними продукты PAM, IDM, DLP выполняют лишь часть функций NAC.
Например, PAM-системы (Privileged Access Management) оберегают только критические доступы к важной инфраструктуре компании. В NAC-решениях задача всегда стоит шире – им важны все пользователи.
Причем во всех смежных продуктах изначально нет контроля оборудования, с которого идет подключение к сети. Такие же PAM, IDM, DLP нацелены на людей, тем временем как NAC дополнительно мониторит их рабочие станции. И это очень важное отличие. Функция помогает с ретроспективным анализом инцидентов, а также позволяет своевременно реагировать на нежелательные события.
Дополнительные данные помогают проводить более качественные расследования инцидентов и эффективную работу над оплошностями. В борьбе меча и щита, как общеизвестно, меч всегда перед самим впереди. Поэтому стороне защиты нужно время для адекватной реакции на инцидент. А для этой цели надо обладать максимумом информации о доступах пользователей в сети и их оборудовании.
Cyber Media: Какие маркеры сегодня помогают отличить добросовестного пользователя от нелегитимного?
Виталий Даровских: Для начала уточню, что даже если пользователь легитимен и он удачно доказывает это, его устройство на день подключения может быть скомпрометировано. Сам человек может знать не знать об этом. Поэтому об оборудовании нужно сказать отдельно.
Но начнем с пользователя. У него, как общеизвестно, обязан быть доступ к сети согласно штатному расписанию и прочим регламентам. Здесь всегда важно придерживаться принципа необходимости и достаточности. Например, если бухгалтеру нужны только 1C с электронной почтой, то необходимо обеспечить доступ к этим сервисам, а к остальным – воспретить. Если учетная запись сотрудника будет скомпрометирована, преступники получат ограниченный доступ к ресурсам компании, что минимизирует ущерб.
В целом маркеры легитимности пользователей разработаны давно и знамениты. Это вязанка логин-пароль, или так именуемый фактор знания. Если мы говорим про многофакторную аутентификацию, то подключается фактор владения – обычно это телефон, на который приходит SMS или PUSH-уведомление. Также для таких целей используется смарт-карта. Пользователи применяют ее для санкционированного доступа к своему рабочему компьютеру или другому устройству.
Меньше остальных маркеров пока распространены биометрические средства аутентификации и авторизации. Технология развивается, и на мой взгляд, в последующем обеспечит более защищенный доступ пользователей. Хотя во многом безопасность этого метода может зависеть вследствие того что, как биометрические данные будут шифроваться и передаваться, можете ли преступники воздействовать на них не нашего прихода или находясь в сети компании.
Что же касается оборудования, то маркеры здесь – такие классические элементы, как сертификат, установленный на рабочей станции, и название сайта, которое учтено в службе каталогов. Кроме того, главен Mac-адрес. Несмотря на то что это не 100%-ная защита, но тоже неоднократно используется при определении легитимности доступа пользователя.
И наконец, проверяется сама точка входа в сеть – место, откуда идет подключение. Причем в работе с этим маркером главен контекст. Например, главный бухгалтер может подключаться из офиса или работать удаленно дома. Ведь если он нежданно подключается из Африки или в два часа ночи, то ИБ-специалисту стоит насторожиться.
Cyber Media: Насколько изменилось отношение к NAC-системам во время пандемии? Получается, что массовый переход на удаленку повысил спрос на них?
Виталий Даровских: Да, конечно, пандемия была одним из триггеров развития NAC-решений по всему миру.
Безопасность удаленного доступа – одна из основных задач этого класса продуктов. Несколько лет назад они появились в России благодаря зарубежным вендорам. Зарубежные игроки создали технологический стек и до недавнего времени оставались лидерами рынка NAC-систем в стране.
Когда западные компании ушли, в России остались пользователи, их опыт и понимание технологий. Сейчас они разумеют, какие именно NAC-решения им нужны, и охотно помогают нам в исследовании продукта.
Cyber Media: Их ожидания отличаются вследствие того что, что предлагали иностранные вендоры?
Виталий Даровских: Заказчики заявляют, что функциональность зарубежных NAC-решений была на 80% неактуальной. Именно поэтому пользователи сформировали свой золотой стандарт требований и транслируют их нам.
Мы учитываем их ожидания – общаемся с заказчиками, передаем продукт им на тестирование и пилотирование, собираем обратную связь и вносим изменения. В общем, стараемся создать максимально полезный продукт.
Cyber Media: В чем особенность и специфика вашего NAC-решения?
Виталий Даровских: UserGate Client во многом уникален и не совсем соотносится с аналогами NAC. Функциональность решения шире, и поэтому его нельзя причислить к какому-либо единому классу ИБ-продуктов.
На данный момент UserGate Client совмещает внутри себя функции NAC и EDR (Endpoint Detection & Response). Наш агент не только контролирует доступ пользователей, но и многие позволяет обеспечивать безопасность самого оборудования за счет фаервола уровня у узла, входящего в решение. Благодаря этому мы можем аутентифицировать и проверять легитимность сотрудника при подключении, а также вести наблюдение за его рабочей станцией – проверять, безопасна ли она и можно ли пользователю работать с этого устройства. Также решение может отключать оборудование от сети, если на нем обнаружены факты компрометации или какая-то подозрительная активность.
Прно даже этом UserGate Client, если глядеть шире, использует принцип нулевого доверия (Zero Trust Network Access – ZTNA) и возможности XDR (Extended Detection and Response). Принципы XDR реализуются в охапке с иными основными продуктами UserGate, являясь важным очагом информации и обогащения данных по инцидентам в сети.
Так, например, UserGate Log Analyzer выполняет сбор данных всех событий в сети и проводит анализ этих данных. В разрозненном виде они в состоянии не представлять собой существенной угрозы. Но как только информация аккумулируется в едином центре обработки, проявляется общая картина. Например, становится понятно, что в одном из офисов компании вдруг массово происходят некритичные события на оборудовании пользователей. Несмотря на то что на каждой рабочей станции ничего рискованного не происходит, но в совокупности ситуация выглядит беспокойно.
UserGate Client – незаменимая часть концепции XDR, которая укрепляет эффективность экосистемы наших продуктов.
Cyber Media: На каком этапе зрелости компании нужно принимать решение о покупке NAC? И почему?
Виталий Даровских: Какого-то единого варианта здесь нет. Все заказчики приходят к такому решению по тем или иным причинам. Я бы разделил их на три группы.
Первый случай – когда заказчику досаждает хаос, который происходит в его сети. Он не разумеет, кто из пользователей и куда именно заходит. В компании нет логирования событий. Прно даже этом подключиться к критической инфраструктуре может кто угодно.
Посещает также, что все системы защиты настроены, но нелегитимные доступы пользователей к сети есть. Прно даже этом правила они отрабатывают некорректно, а способа обнаружения нелегитимного доступа нет. Причин может быть множество. Чтобы разобраться внутри них и избежать хаоса в будущем, компании покупают NAC-решения.
Второй случай – когда заказчики подрастают в размере, качестве, сложности своей инфраструктуры. Происходит эволюционное преображение, которое приводит к органичному внедрению контроля доступа в сети.
И третья ситуация, когда заказчик решает изменить стратегию управления доступами, – это наступление инцидентов. Именно после них в российских компаниях неоднократно сознают, что они не контролируют свои сети и нужно это подправлять.
Причем решение приобрести NAC-систему не может зависеть от размера организации. Даже маленькие банки регионального масштаба обязаны охранять КИИ и соответствовать стандартам отрасли, требованиям законодательства и регуляторов.
В то же время NAC-решения неоднократно обозревают в крупных компаниях с территориальной распределенностью, где давно в наличии множество правил, ролей, разграничение доступа пользователей и т.д. И, пожалуй, сегодня это, наверное, самые явные пользователи таких решений.