-
добавить в избранное
Когда доверие – на нуле
13 августа 2020
Понятно, что всех уязвимостей не закроешь – всегда появятся новые. Всех пользователей не научишь избегать нажатия на опасные ссылки. Да и неизвестные вредоносные программы никто не отменял. Накладываем все это на условия работы из дома – при наличии доступа к компьютеру посторонних (для работодателя, не для работника). И что делать компании в таких условиях?
Выход есть. Это паранойя, или, по-научному, модель нулевого доверия. Вот, например, из недавних новинок:
Beyondcorp Remote Access (входит в Google Cloud Platform) позволяет сотрудникам получать безопасный доступ к внутренним веб-ресурсам организации (интранету) из любого места и с использованием любого устройства без использования VPN (Virtual Private Network – «виртуальная частная сеть»).
Как же так? Безопасный, но незащищенный доступ? А все дело – в сведении привилегий к минимуму:
Beyondcorp Remote Access пропускает весь внешний трафик через прокси-сервер с целью идентификации пользователей и определения их привилегий. При этом система полагается не только на проверку личности сотрудника, но и так называемого контекста доступа. Это гарантирует, что лишь нужные пользователи будут иметь доступ к необходимой информации. Контекстом может, например, считаться используемое устройство (ноутбук, десктоп) – в таком случае пользователь не сможет получить доступ ко внутренним веб-приложениям организации с личного ПК, который не был предварительно одобрен администратором сервиса.
То есть речь не только о назначении прав доступа лишь к необходимым по работе ресурсам. Происходит проверка, откуда совершалась попытка доступа: с защищенного рабочего места или из дома, с личного компьютера.
Можно настроить политики безопасности таким образом, чтобы сотрудники HR-службы, работающие из дома со своих ноутбуков, имели доступ только к внутренней системе управления документами, причем лишь при использовании последней версии ОС и устойчивых к фишингу средств аутентификации.
Подход нулевого доверия все переворачивает с ног на голову: мы не защищаем все устройства по максимуму, а определяем возможность доступа к ресурсам в зависимости, например, от места доступа или используемых мер защиты.
В начале 2020 года Национальный институт стандартов и технологий США (NIST) опубликовал черновик второй редакции документа, в котором рассматриваются основные логические компоненты архитектуры с нулевым доверием (Zero Trust Architecture, ZTA).
Нулевое доверие (Zero Trust) относится к развивающемуся набору парадигм сетевой безопасности, в основе которых лежит принцип «никому ничего не доверяй». В отличии от классических подходов, уделяющих больше внимания защите периметра, модель Zero Trust акцентируется на безопасности ресурсов, а не сегментов сети предприятия.
У такой модели есть проблема. Если при традиционном подходе нужно просто обеспечить максимально нужный уровень защиты и забыть о тонкостях распределения полномочий и обязанностей, то тут сначала нужно разобраться в бизнесе, узнать, какие и кому требуются данные, а уже потом обеспечивать доступ к ним и при необходимости – защиту.
В модели с нулевым доверием вы определяете «защищаемое пространство», состоящее из наиболее важных и ценных данных и ресурсов, и фиксируете маршруты трафика по организации с точки зрения их отношения к защищаемым ресурсам.
Как только появляется понимание связей между ресурсами, инфраструктурой и сервисами, можно создавать микропериметры — межсетевые экраны на уровне сегментов корпоративных сетей.
При традиционном подходе для удаленных сотрудников всегда требуется защищенный канал связи. А при нулевом доверии делается упор на аутентификацию и авторизацию до предоставления доступа к каждому ресурсу компании. И только при необходимости – VPN.
В модели пользователю (или устройству) необходимо получить доступ к корпоративному ресурсу через «контрольно-пропускной пункт». Пользователь проходит проверку через точку принятия решения о доступе на основе политики безопасности (Policy Decision Point, PDP) и через точку реализации политики (Policy Enforcement Point, PEP), отвечающую за вызов PDP и правильную обработку ответ.
Конечно, это не «серебряная пуля» – украденные учетные данные открывают доступ к корпоративной информации. Поэтому требуется и регулярная смена паролей, и контроль аномалий в действиях пользователей.
- Доступ к отдельным корпоративным ресурсам предоставляется для каждой сессии. Аутентификация и авторизация для одного ресурса не дают доступ к другому.
- Доступ к ресурсам определяется динамической политикой, включая наблюдаемое состояние идентификации клиента, приложения и других атрибутов (например, измеряемых отклонений в наблюдаемой модели использования). Политика — это набор правил доступа, основанных на атрибутах, которые организация назначает пользователю, ресурсу или приложению.
#защита_от_потери_данных #Интернет #корпоративная_безопасность #названия #технологии
Антивирусная правДА! рекомендует
Эта концепция сложна для понимания, а ее реализация обходится недешево. Но ее применение для больших компаний – выгодно и оправданно.
И вот что важно: нулевое доверие не означает, что необходимо отказаться от традиционного подхода с использованием того же антивируса. Наличие системы защиты на локальном компьютере – условие для повышения уровня доступа. Только теперь это называется «контролем за активами».
Предприятие гарантирует максимально безопасное состояние всех принадлежащих ему устройств, и отслеживает активы, чтобы гарантировать их максимальную безопасность. «Максимально возможное безопасное состояние» означает, что устройство находится в наиболее практичном безопасном состоянии и все еще выполняет действия, соответствующие его миссии.
Получайте Dr.Web-ки за участие в проекте
Каждая активность = 1 Dr.Web-ка
|
Оцените выпуск Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.
|
Сделайте репост
|
Поставьте «Нравится»
|
![[ВКонтакте]](http://st.drweb.com/static/new-www/social/no_radius/vkontakte.png)
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png)
![[facebook]](http://st.drweb.com/static/new-www/social/no_radius/facebook.png)
Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.
Нам важно ваше мнение
10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Sasha50
18:04:28 2020-08-19
Lia00
02:38:36 2020-08-14
Альфа
23:40:46 2020-08-13
Шалтай Александр Болтай
21:20:56 2020-08-13
orw_mikle
20:55:30 2020-08-13
Toma
20:53:47 2020-08-13
anatol
19:56:49 2020-08-13
Dvakota
19:50:40 2020-08-13
Татьяна
18:57:33 2020-08-13
Masha
18:35:25 2020-08-13
L1t1um
18:29:20 2020-08-13
eaglebuk
18:05:46 2020-08-13
Dmur
16:40:54 2020-08-13
ixtiyor10
16:04:39 2020-08-13
Денисенко Павел Андреевич
13:23:13 2020-08-13
vinnetou
12:54:31 2020-08-13
marisha-san
12:42:58 2020-08-13
EvgenyZ
12:37:53 2020-08-13
Геральт
12:27:08 2020-08-13
runikot
12:18:05 2020-08-13
Zserg
12:00:38 2020-08-13
Alexander
11:48:04 2020-08-13
Лапшу на́ уши навесить,
К наказанью подвести...
Что ж тут делать?
Как тут быть?
Как с тобой мне поступить?!
Да, доверье - на нуле,
Но, ты тоже нужен мне...
Какая гениальная задумка эта "Beyondcorp Remote Access" (удалённый доступ из-за пределов корпорации). Интереснейшее и удивительно откровенное предложение от корпорации Google. Ведь известно же, какую множественную информацию она собирает о пользователях своих разнообразных сервисов.
Но, по сути, - хорошее предложение для усиления корпоративного контроля. Первичная проверка (имя, пароль, двойная авторизация и др.) личности, желающей войти в разветвлённую информационную систему предприятия. Затем, - скрытая проверка-изучение так называемого "контекста доступа". И таких "контекстов" известных и скрытых может быть "вагон и маленькая тележка". В зависимости от уровня доступа к базе данных. Это и идентификация ранее заявленного ноутбука, с проверкой соответствия разнообразных его характеристик (их сотни!). Это и проверка на соответствие индивидуальных алгоритмов работы и на ноутбуке, и с сетевыми базами данных, и по стилистике запросов, и по манере работы на клавиатуре, и... "о, сколько нам открытий чудных готовит...". Да, многие знания умножают нашу скорбь... в том числе и от фантастических предположений и домысливания...
Какую же руку помощи протягивает нам Google? И что в целом нам даёт их система обеспечения контроля при работе "на удалёнке"? Особенно вкупе с быстрым развитием ИИ? Вспоминается песенка телеклуба "Знатоки", - "Все хочу, все хочу, все хочу на свете знать, \ Обсуждать, разбирать, думать, помнить, понимать...
Теперь место всемирного "знатока" стремится занять Google и иже с ним... Но вот только получаемые знания он использует сугубо в личных коммерческих целях и для укрепления "свободного мира" с помощью сотрудничающих с ним "сами знаете кого"...
P.S. В голове "крутится" как-то напрягающая мысль-ассоциация. Поздоровался за руку с артистом-фокусником, а потом глядь, а моих-то наручных часиков и нет... Вот тебе и радостное любопытство-доверие, ожидание чуда и ощущение безопасности…
P.P.S. Но вот как "новый" подход в организации комплексной защиты от опасностей внешних коммуникаций, в т.ч. при штатной работе по удалённому доступу, - дельное предложение. Главное, чтобы в суете нововведений не забыли надёжный и проверенный Dr.Web Security Space, и другую специализированную продукцию компании "Доктор Веб". Спасибо за статью.
GREEN
10:59:46 2020-08-13
Ну уж нет, от антивируса мы отказаться ну никак не могём! Привыкли как-то к безопасности :)
kozinka.ru
10:49:24 2020-08-13
Родриго
10:37:55 2020-08-13
Пaвeл
10:36:07 2020-08-13
Slava90
08:35:02 2020-08-13
dyadya_Sasha
08:25:20 2020-08-13
А уровень минусового доверия это кого и близко не подпускать.;)
Неуёмный Обыватель
08:18:56 2020-08-13
Vlad X
07:43:46 2020-08-13
Sergey
07:14:30 2020-08-13
Любитель пляжного футбола
06:58:12 2020-08-13
ka_s
06:47:06 2020-08-13
vkor
06:22:52 2020-08-13