Два фундамента сетевой безопасности, которых почти ни у кого нет

Большинство компаний уверены, что сделали для защиты сети всё возможное — и всё равно продолжают сталкиваться с угрозами. Отчасти они правы: угрозы никуда не делись. Но вот с «всё возможное» дело обстоит хуже: на деле мало кто выстроил два по-настоящему базовых элемента защиты, без которых остальные меры — лишь заплатки поверх заплаток.

Ежегодный аудит, который ничего не меняет

Когда предприятия говорят, что раз в год анализируют сетевую безопасность «сверху вниз», на практике это чаще всего означает поиск признаков того, что прежние меры не сработали, и добавление ещё одного защитного слоя. По сути — вторая пластырная повязка поверх пореза, а не пересмотр подхода.

Настоящая проверка «сверху вниз» должна начинаться с простого требования: никто не должен иметь доступ к тому, что ему не положено. Если сотрудник, отвечающий за обслуживание парковки, вдруг открывает прошлогодние данные о продажах или проверяет остатки товара на складе, — это повод насторожиться, будь то злоупотребление правами или заражение вредоносным ПО. То же касается и приложений: если система, следящая за состоянием дверей в офисе, вдруг обращается к модулю расчёта зарплаты, это тоже тревожный сигнал. IP-сети по своей природе слишком «разрешительны» — а значит, изначально небезопасны.

Явное разрешение на подключение

Первый фундамент — модель явных разрешений на доступ (connection-permission security). Она неудобна именно потому, что сложна в поддержании. У человека нет встроенного сетевого идентификатора — приходится привязывать права к его устройству. Но если за рабочий стол сядет коллега, чтобы быстро что-то поправить в приложении, он унаследует чужие привилегии, хотя не должен.

Похожая проблема возникает при смене должности сотрудника: права доступа меняются, а служба сетевых операций (NetOps) не успевает обновить настройки, из-за чего первый отчёт на новой позиции опаздывает. Решение — ролевая модель, где права привязаны не к человеку, а к роли. Она работает, только если соблюдены два условия: права роли строго ограничены задачами, для которых она нужна (иерархия ролей помогает убрать дублирующие политики), и подтверждение личности пользователя достаточно надёжно, чтобы роль назначалась верно, а тем, у кого роли нет, не давался доступ вообще.

ИИ и анализ трафика как второй фундамент

Даже при безупречно настроенных ролях и политиках ошибка всё равно возможна. Снизить этот риск помогает второй фундамент — анализ трафика с использованием искусственного интеллекта и машинного обучения. Любое использование сети создаёт характерный паттерн трафика, и вредоносная программа, прощупывающая уязвимости, — не исключение. ИИ/ML способны отличить такой паттерн от обычной работы приложений: даже если вредонос заразил устройство пользователя с легитимными правами доступа, ему вряд ли удастся точно воспроизвести трафик, характерный для реальной работы этого человека. Расхождение — повод для алерта и последующей проверки состояния устройства.

Преимущество такого анализа в том, что он эффективен даже там, где точно идентифицировать пользователя сложно. Анализировать паттерны можно на любом уровне — от отдельного сотрудника до сети целиком. В филиале, где работают люди лишь из части ролей, попытка обратиться к приложению, которое там никому не нужно, сразу бросается в глаза. Необычная активность на уровне филиала или подсети штаб-квартиры может стать сигналом для более тщательной проверки — вручную или через детальный анализ трафика конкретных сотрудников. ИИ также способен заметить резкое изменение поведения самого пользователя: это может означать как заражение, так и смену его должностных обязанностей, о которой забыли сообщить NetOps.

Итог

По отдельности явные разрешения на доступ и ИИ-анализ трафика заметно усиливают защиту. Вместе они образуют прочную основу для безопасности не только сети, но и данных с приложениями, которые она связывает. Начав план защиты именно с этих двух технологий, компания может всерьёз повысить уровень безопасности — и, возможно, снять пару лишних «пластырей», накопившихся за годы.

Источник: NetworkWorld.