Вы находитесь на странице: 1из 3

ТЕМА 4.

КАК СПАСТИСЬ ОТ КИБЕРУГРОЗ В НОВУЮ


ЭПОХУ? ВОПРОСЫ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ

4.10. Средства защиты системы контроля доступа пользователя

Продолжаем изучение средств защиты конечных точек, или «endpoint protection».

В прошлых лекциях мы говорили об антивирусных механизмах в составе решения, которое


устанавливается непосредственно на компьютер дома или в офисе. Некоторые решения
позволяют, когда пользователь выходит за пределы своей зоны и обращается к внешнему сервису,
иметь возможность передать так называемую «телеметрию» межсетевому экрану, которая может
быть решающей при принятии решения относительно разрешения обращения к информационным
ресурсам.

В случае с рабочим местом пользователя телеметрией может быть информация о запущенных


программах, об установленном программном обеспечении, о наличии последних обновлений этого
программного обеспечения.

Межсетевой экран, в свою очередь, на основании этой информации может принять решение,
насколько пользователь удовлетворяет установленной политике информационной безопасности, в
которой может быть прописано, что для выхода в Интернет на компьютере должен быть
обязательно установлен и активирован персональный межсетевой экран, а локальный антивирус
быть не просто активирован, а его базы данных сигнатур должны быть полностью обновлены.
Также можно проверить, чтобы у пользователя не было запущено никаких игровых программ.

Таким образом, мы можем дополнительно требовать соблюдения определенных политик


информационной безопасности не только на рабочем месте, но и в явном виде их контролировать
непосредственно на периметровом устройстве. Это удобно и повышает уровень защищенности в
целом: ведь мы помним, что правила без их контроля почти никогда не соблюдаются.

Пользователи могут работать не только изнутри нашей корпоративной системы, а подключаться


снаружи. Особенно это актуально, когда есть администраторы, которые обслуживают
информационную систему организации. Они зачастую вынуждены работать снаружи периметра, и
несмотря на это, должны обслуживать информационную систему, а для этого им нужно каким-то
образом попасть внутрь доверенным образом. Как мы можем им доверять? На помощь приходит
технология VPN или Virtual Private Network (виртуальная частная сеть), позволяющая установить
доверенный защищенный канал связи. Говоря простым языком, VPN – это технология, которая
позволяет организовывать взаимодействие даже через небезопасную сеть Интернет, и при этом
никакой злоумышленник не сможет прочитать, что находится внутри установленного защищенного
туннеля.

Таким образом, процесс выглядит следующим образом: удаленный пользователь, например


администратор, подключается с использованием защищенного туннеля к инфраструктуре нашей
организации. Но ему недостаточно просто создать туннель. Очень важно убедиться в том, что тот
человек, который находится на той стороне виртуального соединения, именно тот, за кого он себя
выдает.

1
Здесь нужно четко понимать разницу между идентификацией и аутентификацией.

Идентификация – процедура распознавания, идентифицирующая субъекта в информационной


системе.

Аутентификация – процедура проверки подлинности.

Авторизация – предоставление доступа к какому-либо ресурсу.

Такого рода системы называются системами ААА (аутентификации, авторизации и учета —


Authentication, Authorization, Accounting). Эти системы позволяют, соответственно,
аутентифицировать, авторизовать пользователя и еще сохранить информацию о том, какое
количество ресурсов он потребил. Как правило, это системы, которые интегрируются с каким-либо
каталогом пользователей. Если мы работаем с инфраструктурой Microsoft, то это будет каталог
Active Directory, в котором все пользователи перечислены.

Для авторизации достаточно использовать либо какой-то секрет, которым можем обладать только
мы. Для сохранения удобства пользователей при усилении методов контроля, иногда используется
так называемый «captive portal». Это портал, который перехватывает запрос и предлагает нам
авторизоваться прежде, чем мы продолжим работу с ресурсом. Типичным образом примером
такого captive portal является портал, на который перенаправляется беспроводное устройство при
подключении в публичных точках доступа кафе, ресторана. Ведь нас не просто сразу пускают в
Интернет. В соответствии с Федеральным законом сейчас все операторы беспроводных сетей
обязаны как минимум идентифицировать абонента. И мы себя идентифицируем. Да, мы не
подтверждаем свою личность, но обозначаем, что у нас есть определенный номер телефона, или
называем свою электронную почту, или какой-то аккаунт соц. сети. Фактически мы сообщаем, что
тот пользователь, который работает с ресурсом, это абонент с номером телефона или аккаунтом
социальной сети.

Самый простой метод аутентификации – ввести пароль. Мы входим в операционную систему, и


нам предлагают выбрать четкую запись и ввести пароль от нее. Более сложные механизмы
аутентификации предполагают использование биометрических данных. Помимо биометрической
аутентификации могут использоваться «токены». Это одноразовые пароли, которые приходят из
интернет-банка, когда вы подтверждаете какую-то операцию. Или же, когда это организация,
выдают флешку, на которой находится электронная цифровая подпись (ЭЦП). Либо скретч-карту с
одноразовыми паролями для подтверждения операций, но это встречается все реже и реже из-за
неудобства использования. Могут выдавать специальный токен, который генерирует одноразовые
пароли. На экране с определенной периодичностью высвечивается новый одноразовый пароль,
которым подтверждаются операции. Суть токена в том, чтобы подтвердить человека не просто как
личность, как учетную запись, которая обладает знанием пароля, но еще подтвердить обладание
вторым фактором, который принадлежит только этому конкретному человеку.

Возвращаясь обратно к аутентификации и авторизации удаленных пользователей, еще одним


важным рубежом контроля является контроль доступа привилегированных пользователей. Важно
помнить, что пользователи бывают разных типов: простой пользователь, бухгалтер,
администратор, руководитель информационной безопасности. У всех будут разные полномочия.
Например, системный администратор обслуживает систему и у него, однозначно, есть пароли от
всех компонентов инфраструктуры. Тогда возникает вопрос: «Как же контролировать его доступ,
если на самом деле он сам себя контролирует и может даже менять пароли другим
пользователям?» В этом случае используются специальные системы контроля управления
привилегированными пользователями, так называемые PIM-системы (Privileged Identity
Management). Ряд известных производителей предоставляют системы такого рода.

2
Следует помнить, что, когда вы составляете политику информационной безопасности, она
делается не в вакууме, а исходя из вашей модели угроз и понимания своего нарушителя.

В рамках данной лекции мы поговорили о защите пользователей, а также обратили внимание на


механизмы контроля привилегированных пользователей. Обозначили, в чем отличие между
идентификацией, аутентификацией и авторизацией при доступе пользователя к ресурсу. А в
следующей лекции мы продолжим разговор про системы защиты и продолжим защищать нашу
гипотетическую организацию.