Еволюція технологій управління доступом до мережі (NAC)

Еволюція технологій управління доступом до мережі (NAC)

Як пристрої IoT і BYOD змінили рішення NAC.

Поширення політики використання співробітниками власних пристроїв (BYOD) і Інтернету речей (IoT) призвело до трансформації структури мереж і появи нових вимог до їх безпеки. Технології управління доступом до мережі (NAC) попереднього покоління не здатні забезпечити ефективний захист кінцевих точок. Вони не підтримують функції, необхідні для захисту корпоративних пристроїв IoT і BYOD: комплексне відстеження, управління і автоматичне реагування. Такі недоліки системи безпеки не тільки ставлять під загрозу корпоративні дані, користувачів і бізнес-операції, а й можуть обернутися штрафами за порушення вимог і іншими каральними збитками.

ВІД МОБІЛЬНИХ КІНЦЕВИХ ТОЧОК ДО ПРИСТРОЇВ IOT

Компанії продовжують зазнавати труднощів у процесі забезпечення безпеки мобільних кінцевих точок. Працюючі з тимчасовим договором співробітники, відвідувачі, обслуговуючий персонал та інші «сторонні» користувачі потребують доступу до мережі. На допомогу можуть прийти технології управління корпоративними мобільними пристроями (EMM) і міжмережеві екрани, проте ці рішення позбавлені таких важливих функцій, як комплексне відстеження стану пристроїв і користувачів з метою визначення повноважень доступу до мережі та обмеження цього доступу. У той же час пристрої IoT у силу своєї приналежності до числа слабких точок мережі нерідко стають ціллю кіберзлочинців. Наприклад, багато пристроїв IoT не мають засобів управління: вони не підтримують установку навіть простих виправлень і позбавлені вбудованих компонентів безпеки.

Нормативні вимоги щодо пристроїв IoT знаходяться в процесі розробки. Проте навіть на цьому етапі стратегії захисту IoT повинні відповідати існуючим стандартам і вимогам. Перед більшістю організацій стоїть завдання забезпечення відповідності нормативним документам, які вимагають суворого контролю за доступом до мережі і наявності засобів захисту даних: це Загальні положення про захист даних (GDPR), Закон про уніфікацію і обліку в області медичного страхування (HIPAA), акти Комісії з цінних паперів і бірж США (SEC), Закон Сарбейнза-Окслі (SOX) і стандарт безпеки даних індустрії платіжних карт (PCI DSS). З метою забезпечення відповідності організації повинні впровадити засоби захисту кінцевих пристроїв. Невиконання вимог може спричинити за собою мільйонні штрафи.

Такі загальносвітові тенденції, як впровадження віртуальних / хмарних сервісів, комутаторів і маршрутизаторів, а також зростання числа підключених до мережі філій, які обмінюються між собою інформацією, перетворюють задачу виявлення загроз і забезпечення безпеки кінцевих точок у непідйомний тягар. Окремі засоби захисту можуть успішно запобігати атакам певного типу, проте вони, як правило, позбавлені інтегрованих функцій комплексного відстеження історії і збору аналітичних даних.

Тим часом, ці функції відіграють найважливішу роль в процесі запобігання, виявлення і усунення загроз співробітниками відділів реагування на загрози та забезпечення відповідності вимогам законодавства.

Ключовою проблемою є вразливість мереж для атак (наприклад, поширення шкідливого ПЗ зараженими пристроями або несанкціонованого доступу за допомогою вкрадених облікових даних) внаслідок використання застарілих засобів управління доступом. Рішення NAC першого покоління для перевірки автентичності та авторизації кінцевих точок (головним чином керованих ПК) використовували просту технологію сканування і блокування.

Перехід до рішень NAC другого покоління був обумовлений зростанням потреби в управлінні гостьовим доступом до корпоративних мереж. Засоби управління доступом другого покоління надають обмежений інтернет-доступ зовнішнім користувачам - відвідувачам, діловим партнерам і співробітникам, які працюють з тимчасовим договором.

Зміни інфраструктури мереж (цифрова трансформація) і розвиток витончених цільових атак привели до появи нових вразливостей, пов'язаних з доступом до мережі, на усунення яких повинні бути спрямовані сучасні засоби безпеки.

  • Відсутність функцій відстеження та управління. Неможливо захистити компоненти, даними про стан яких ви не маєте. Уразливість організацій пов'язана з відсутністю коштів комплексного централізованого відстеження пристроїв (як BYOD, так і IoT). Співробітники відділу безпеки повинні мати можливість відстежувати всі компоненти мережевої інфраструктури в усіх локаціях, у тому числі на периферії мережі. Як правило, засоби захисту кінцевих точок ізольовані від системи мережевої безпеки, що унеможливлює обмін важливими даними в режимі реального часу. Якщо будь-який пристрій стає метою атаки, інші підключені пристрої у всіх місцях розташування (і інші компоненти архітектури мережевої безпеки) повинні негайно отримати сигнал про загрозу і приступити до узгодженої реалізації заходів протидії. В рамках більшості традиційних підходів до безпеки це неможливо.
  • Відсутність політик автоматичного реагування на загрози. Системи безпеки щодня створюють тисячі попереджень. Зрозуміло, співробітники ІТ-відділів не можуть вручну обробляти кожен інцидент. Коли міжмережевий екран, система виявлення вторгнень (IDS), система запобігання вторгнень (IPS) або інша служба виявляє порушення безпеки за певним IP-адресою, архітектура безпеки повинна автоматично усунути загрозу. Оперативність та ефективність реагування істотно знижує ризик.
  • Відсутність автоматизованих робочих процесів. Багато застарілих процесів, наприклад, пов'язаних із виділенням ресурсів, вимагають втручання ІТ-фахівців. Це уповільнює підключення нових співробітників до мережі, підвищує ризик помилок, викликаних людським фактором, погіршує навантаження на ІТ-персонал і знижує загальну ефективність операцій безпеки.

Існуючі рішення забезпечують контроль над пристроями, розрахованими на традиційну парадигму управління, проте безперервне зростання кількості продуктів IoT і BYOD призводить до появи нових проблем. Найбільш значною з них є відсутність стандартів конфігурації пристроїв BYOD і IoT. На ринку представлено безліч типів і марок пристроїв, оснащених різними операційними системами і компонентами безпеки, причому більшість пристроїв не відповідає стандартам корпоративної безпеки.

З плином часу проблема стає все більш серйозною: цьому сприяє стрімке зростання кількості роботів, пристроїв контролю температури, дозаторів інсуліну, датчиків систем опалення, вентиляції та кондиціонування, автоматизованих засобів захищеного доступу і інших пристроїв із підключенням до IoT.

ЕФЕКТИВНА ПРОТИДІЯ РИЗИКУ ВІДКРИТОГО ДОСТУПУ ВИМАГАЄ РОЗВИТКУ СИСТЕМ БЕЗПЕКИ

Поширення BYOD і пристроїв IoT призвело до того, що засоби управління доступом попереднього покоління перестали відповідати вимогам до безпеки кінцевих точок. У міру розвитку і зростання кількості цільових експлойтів «нульового дня» і просунутих загроз завдання усунення цих вразливостей з кожним днем стає все більш актуальною. Розробники архітектур безпеки повинні знайти способи модернізації засобів управління доступом. Цього вимагає захист кінцевих точок, користувачів і організацій від руйнівних наслідків атак з використанням корпоративних пристроїв.

 

Протестувати нове рішення FortiNAC можна, залишивши запит на fortinet@erc.ua