Ранее мы рассказывали в соцсетях и на апрельском вебинаре, что в редакции 3 появилась возможность формирования сложных сценариев с ветвлением и дополнительными возможностями. В этой статье рассмотрим на конкретном примере, как такие сценарии обеспечивают максимальную безопасность на всех этапах подключения дистанционного пользователя, которому изначально доверять нельзя.
Пример содержит реальный кейс, который демонстрирует главный принцип ПК ИБ САКУРА редакции 3 – подход «нулевого доверия» (Zero Trust). Это значит, что система изначально не доверяет подключаемому устройству или пользователю, пока не будет подтверждено, что можно выстроить доверительные отношения.
Изначально пользователю / устройству предоставляется минимально необходимый доступ. Далее только после успешной многоэтапной проверки и подтверждения что устройство соответствует политикам безопасности, назначается уровень доступа в зависимости от принадлежности подключения и роли пользователя. Гибкость сценариев и атрибутов позволяет адаптировать этот процесс под любые требования бизнеса.
Пример – реально используемый кейс на предприятии нашего заказчика
На схеме изображена последовательность действий – Сценарий. В сценарии описано и настроено поведение системы при подключении недоверенного рабочего места к защищенной корпоративной инфраструктуре с использованием ПК ИБ САКУРА редакции 3
Этап 1: Сбор/актуализация пользовательских атрибутов устройства- Действие: Агент САКУРА, работающий с привилегиями суперпользователя, автономно собирает и регулярно актуализирует необходимые «Пользовательские атрибуты» с рабочего места.
- Примеры атрибутов: Серийный номер жесткого диска (HDD), серийный номер материнской платы, имя пользователя ОС, GUID машины, установленные сертификаты и т.д.
- Цель: Получить уникальные «отпечатки» устройства для его идентификации и первичной классификации на этапе подключения. Например, быстро определить какое подключается устройство (корпоративное или личное).
- Действие: Пользователь инициирует подключение к корпоративной сети через VPN (например, АМИКОН). VPN шлюз строит специальный «Технологический туннель». Этот туннель предоставляет устройству строго ограниченный доступ ТОЛЬКО до Демилитаризованной Зоны (DMZ). Доступ к внутренним ресурсам корпорации на этом этапе не предоставляется. Агент САКУРА собирает информацию о VPN подключении.
- Цель: Обеспечить канал связи агента САКУРА с сервером САКУРА для первичной проверки, минимизируя риски для внутренней сети.
- Действие: Как только соединение через технологический туннель установлено, агент САКУРА на рабочем месте меняет свое состояние на онлайн по отношению к серверу САКУРА. Сервер САКУРА благодаря Матрице реагирования (об этом ниже рассказываем) запускает «Сценарий первичной проверки».
- Цель: Выполнить последовательность команд для сбора информации, классификации устройства/пользователя и назначения политик безопасности.
- Действие: Сценарий этапа 3, использует собранную информацию на этапах 1 и 2 для взаимодействия с внутренними сторонними (относительно системы САКУРА) корпоративными системами. Такие проверки могут осуществляться сразу по нескольким направлениям (уровням). Например:
- Проверка корпоративности: Обращение к системе управления (например SCCM) для подтверждения, что устройство числится в корпоративном инвентаре
- Проверка пользователя: Запрос к службе каталогов (Active Directory, LDAP, Free LDAP и др.) для получения информации о пользователе: членство в группах, статус учетной записи (активна/заблокирована), категория безопасности
- Определение уровня доступа: Получение информации от VPN шлюза о том, к какой «туннельной группе» или зоне доступа (например, базовая или VIP-зона) принадлежит подключение
- Проверка корпоративности: Обращение к системе управления (например SCCM) для подтверждения, что устройство числится в корпоративном инвентаре
- Цель: Верифицировать данные устройства и пользователя, определить контекст подключения с помощью авторитетных источников внутри информационной экосистемы предприятия, получить дополнительные сведения о рабочем месте, доступные только внутри защищенного контура.
- КЛЮЧЕВОЕ: Обратите внимание, на этом этапе на схеме отображено разветвление сценария – получение нужных атрибутов и свойств разное, в зависимости от ОС подключающегося рабочего места. Учитывается также и туннельная группа.
- Действие: На основе всей собранной на предыдущих этапах информации сервер САКУРА классифицирует рабочее место:
- Корпоративное устройство или Личное устройство (BYOD)
- Категория пользователя/устройства по уровню безопасности
- Уровень доступа (на основе данных от VPN)
- Корпоративное устройство или Личное устройство (BYOD)
- Действие: Исходя из классификации устройства назначается соответствующий «Профиль рабочего места».
- Цель: Дифференцировать подход к безопасности. Профиль определяет специфический набор проверок (правил контроля), необходимых для именно этого типа устройства и пользователя в данном контексте подключения.
- КЛЮЧЕВОЕ: Агент САКУРА получает назначенный профиль рабочего места для выполнения соответствующих профилю проверок по правилам политик безопасности.
Этап 6: Выполнение проверок и оценка защищенности на рабочем месте
- Действие: После назначения профиля рабочего места, агент САКУРА выполняет весь набор проверок (Правил контроля), определенных в этом профиле. Проверки оценивают текущий уровень защищенности устройства – например: наличие и актуальность баз антивируса, состояние обновлений ОС, наличие критичных уязвимостей, соответствие политикам и т.д.
- Статус устройства: Рабочее место переходит в состояние оценки уровня защищённости «Выполняется проверка».
- Действие: Оценка уровня защищенности определяется благодаря предустановленным уровням нарушений (см. пример на схеме ниже).
- Цель: Гарантировать, что устройство соответствует минимальным требованиям безопасности предприятия перед получением доступа к корпоративным ресурсам.
- КЛЮЧЕВОЕ: Полный доступ к корпоративным ресурсам НЕ предоставляется до тех пор, пока ВСЕ критические проверки, назначенные профилем, не будут успешно выполнены. Устройство остается в DMZ.
Этап 7: Решение о предоставлении доступа
- Действие: Только после успешного завершения всех необходимых проверок система сообщает VPN шлюзу параметры доступа для данного устройства. На основе классификации и результатов проверок определяется реальный уровень доступа к корпоративным ресурсам.
- Если все проверки ниже не пройдены, доступ не предоставляется:
- На рабочем месте выявлены нарушения по проверкам
- Определено не целевое подключение к инфраструктуре
- Группы пользователя не соответствуют подключению
- Учетная запись заблокирована
- Не идентифицирован тип подключающегося устройства
- На рабочем месте выявлены нарушения по проверкам
- При этом пользователь получает соответствующее уведомление на рабочем месте с описанием причин и/или необходимых действий для устранения нарушения.
- Действие: После успешного первичного подключения и предоставления доступа, агент САКУРА продолжает периодически выполнять проверки, назначенные профилем.
- Цель: Обеспечить постоянное соответствие устройства политикам безопасности на протяжении всего времени его подключения к корпоративной сети. Нарушения по проверкам может привести к автоматическому ограничению или отзыву доступа.
- КЛЮЧЕВОЕ: Критичные проверки могут выполняться очень часто (например, каждые несколько минут), менее важные – реже (например, раз в день или неделю).
Заключение
Первое: Все проверки можно гибко регулировать по расписанию, периодичности, а также определять проверки, не влияющие на уровень доступа – например, информационные сообщения или незначительные нарушения. Такая гибкость позволяет достичь необходимого уровня безопасности.
Второе: Выполнение сценариев на этапах описанных выше регулируется в системе благодаря «Матрице реагирования».
Исходя из изменения состояния рабочего места в матрице устанавливается вызов соответствующего сценария.
Например, для этапа 2 устанавливается сценарий первичной проверки при переходе рабочего места в «Онлайн». Для этапа 7 выполняется сценарий отправки VPN шлюзу информации о доступе при переходе рабочего места из состояния «Выполняется проверка» в уровень нарушения «Без нарушений» или «Критический».
При этом, компания, использующая систему САКУРА для обеспечения собственной безопасности, может построить свою матрицу реагирования, кастомизировать уровни нарушений и последовательность команд в сценарии.
Автор: Павел Павловский,
ведущий специалист по информационной безопасности, ИТ-Экспертиза
* * *
О новых возможностях программного комплекса информационной безопасности САКУРА расскажем на вебинаре, который состоится 31 июля, в 11:00. Участие бесплатное, предварительно нужно зарегистрироваться по
