Что такое контроль доступа? Ключевой компонент безопасности данных

Что такое контроль доступа? Ключевой компонент безопасности данных

Источник · Перевод автора

Средства управления доступом аутентифицируют и разрешают отдельным лицам получать доступ к информации, которую им разрешено просматривать и использовать.

Кто должен получить доступ к данным вашей компании? Как вы убедитесь, что тем, кто пытается получить доступ, действительно был предоставлен такой доступ? При каких обстоятельствах вы запрещаете доступ пользователю с правами доступа?

Чтобы эффективно защитить ваши данные, политика контроля доступа вашей организации должна учитывать эти (и другие) вопросы. Далее следует руководство по основам управления доступом: что это такое, почему это важно, какие организации нуждаются в этом больше всего и какие проблемы могут возникнуть у специалистов по безопасности.

Что такое контроль доступа?

Контроль доступа – это метод гарантии того, что пользователи являются теми, кем они себя называют, и что они имеют соответствующий доступ к данным компании.

На высоком уровне управление доступом является выборочным ограничением доступа к данным. Он состоит из двух основных компонентов: аутентификации и авторизации, говорит Дэниел Кроули (Daniel Crowley), руководитель отдела исследований IBM X-Force Red, который занимается вопросами безопасности данных.

Аутентификация – это метод, используемый для проверки того, что кто-то является тем, кем он себя считает. Кроули отмечает, что одной аутентификации недостаточно для защиты данных. Необходим дополнительный уровень, авторизация, который определяет, следует ли разрешить пользователю доступ к данным или совершить транзакцию, которую он пытается выполнить.

По словам Кроули, без аутентификации и авторизации безопасность данных невозможна. «При каждом нарушении данных управление доступом является одной из первых исследуемых политик, – отмечает Тед Вагнер (Ted Wagner), CISO из SAP National Security Services, Inc. – Будь то непреднамеренное раскрытие конфиденциальных данных, неправильно защищенных конечным пользователем, или нарушение Equifax, там, где конфиденциальные данные были открыты через общедоступный веб-сервер, работающий с программной уязвимостью, контроль доступа является ключевым компонентом. При неправильном применении или поддержании результат может быть катастрофическим».

Любая организация, сотрудники которой подключаются к Интернету, иными словами, каждая организация сегодня, нуждается в определенном уровне контроля доступа. «Это особенно верно для компаний с сотрудниками, которые работают вне офиса и нуждаются в доступе к ресурсам и службам данных компании», – говорит Ави Чесла (Avi Chesla), генеральный директор Empow по кибербезопасности.

Другими словами: если ваши данные могут иметь какую-то ценность для кого-то без надлежащего разрешения на доступ к ним, то вашей организации необходим строгий контроль доступа, говорит Кроули.

Еще одна причина для строгого контроля доступа: майнинг доступа

Сбор и продажа дескрипторов доступа в даркнете является растущей проблемой. Например, новый отчет от Carbon Black описывает, как один крипто-майнинговый ботнет Smominru добыл не только криптовалюту, но и конфиденциальную информацию, включая внутренние IP-адреса, информацию о домене, имена пользователей и пароли. Исследователи Carbon Black считают, что «весьма правдоподобно», что этот субъект угроз продал эту информацию на «рынке доступа» другим, которые могли затем начать свои собственные атаки с помощью удаленного доступа.

Эти торговые площадки «предоставляют киберпреступникам быстрый и простой способ приобрести доступ к системам и организациям … Эти системы могут использоваться в качестве зомби при крупномасштабных атаках или в качестве точки входа в целевую атаку», – отмечают авторы доклада. , Ultimate Anonymity Services (UAS) – одна торговая площадка доступа, предлагающая 35 000 учетных данных со средней продажной ценой $ 6,75 за учетные данные.

Исследователи Carbon Black считают, что киберпреступники будут расширять использование торговых площадок для доступа и майнинга доступа, потому что они могут быть для них «очень прибыльными». Риск для организации возрастает, если скомпрометированные учетные данные пользователя имеют более высокие привилегии, чем необходимо.

Политика контроля доступа: основные соображения

Большинство специалистов по безопасности понимают, насколько важным является контроль доступа для их организации. Но не все согласны с тем, как должен осуществляться контроль доступа, говорит Чесла. «Контроль доступа требует применения постоянных политик в динамичном мире без традиционных границ», – объясняет Чесла. Большинство из нас работают в гибридных средах, где данные перемещаются с локальных серверов или облака в офисы, дома, гостиницы, автомобили и кафе с открытыми точками доступа Wi-Fi, что может затруднить обеспечение контроля доступа.

«Риск заключается в том, что доступ доступен для все более широкого спектра устройств», – говорит Чесла, включая ПК, ноутбуки, смартфоны, планшеты, интеллектуальные колонки и другие устройства Интернета вещей (IoT). «Это разнообразие делает реальным вызовом создание и обеспечение последовательности в политиках доступа».

В прошлом методологии контроля доступа часто были статичными. «Сегодня доступ к сети должен быть динамичным и плавным, поддерживать идентификаторы и варианты использования на основе приложений», – говорит Чесла.

Сложную политику контроля доступа можно динамически адаптировать для реагирования на меняющиеся факторы риска, что позволяет компании, которая была взломана, «изолировать соответствующих сотрудников и ресурсы данных для минимизации ущерба».

Предприятия должны гарантировать, что их технологии контроля доступа «поддерживаются последовательно через их облачные активы и приложения, и что они могут быть плавно перенесены в виртуальные среды, такие как частные облака», советует Чесла. «Правила контроля доступа должны меняться в зависимости от фактора риска, что означает, что организации должны развертывать уровни аналитики безопасности с использованием ИИ и машинного обучения, которые находятся поверх существующей сети и конфигурации безопасности. Они также должны выявлять угрозы в режиме реального времени и соответствующим образом автоматизировать правила контроля доступа».

4 вида контроля доступа

По словам Вагнера, организации должны определить подходящую модель управления доступом, которую следует принять, исходя из типа и чувствительности данных, которые они обрабатывают. Более старые модели доступа включают дискреционное управление доступом (DAC, discretionary access control) и обязательное управление доступом (MAC, mandatory access control), управление доступом на основе ролей (RBAC, role based access control) является наиболее распространенной моделью сегодня, а самая последняя модель известна как управление доступом на основе атрибутов (ABAC, attribute based access control).

Дискреционный контроль доступа (DAC)

В моделях DAC владелец данных принимает решение о доступе. DAC – это средство назначения прав доступа на основе правил, указанных пользователями.

Обязательный контроль доступа (MAC)

MAC был разработан с использованием недискреционной модели, в которой людям предоставляется доступ на основе очистки информации. MAC – это политика, в которой права доступа назначаются на основании нормативных актов центрального органа.

Управление доступом на основе ролей (RBAC)

RBAC предоставляет доступ на основе роли пользователя и реализует ключевые принципы безопасности, такие как «минимальные привилегии» и «разделение привилегий». Таким образом, кто-то, пытающийся получить доступ к информации, может получить доступ только к тем данным, которые считаются необходимыми для его роли.

Управление доступом на основе атрибутов (ABAC)

В ABAC каждому ресурсу и пользователю назначается ряд атрибутов, объясняет Вагнер. «В этом динамическом методе сравнительная оценка атрибутов пользователя, включая время суток, положение и местоположение, используется для принятия решения о доступе к ресурсу».

Организациям необходимо решить, какая модель наиболее подходит для них, исходя из чувствительности данных и эксплуатационных требований к доступу к данным. В частности, организации, которые обрабатывают информацию, позволяющую установить личность (PII, personally identifiable information) или другие типы конфиденциальной информации, в том числе Закон о мобильности и ответственности медицинского страхования (HIPAA, Health Insurance Portability and Accountability Act) или данные контролируемой неклассифицированной информации (CUI, Controlled Unclassified Information), должны сделать управление доступом основной функцией в своей архитектуре безопасности, Вагнер советует.

Решения для контроля доступа

Ряд технологий может поддерживать различные модели контроля доступа. В некоторых случаях может потребоваться совместная работа нескольких технологий для достижения желаемого уровня контроля доступа, говорит Вагнер.

«Реальность распространения данных между поставщиками облачных услуг и приложениями SaaS и подключения к традиционному периметру сети диктует необходимость согласования безопасного решения», – отмечает он. «Существует несколько поставщиков, предоставляющих решения для доступа к привилегиям и управления удостоверениями, которые могут быть интегрированы в традиционную конструкцию Active Directory от Microsoft. Многофакторная аутентификация может быть компонентом для дальнейшего повышения безопасности».

Почему авторизация остается проблемой

Сегодня, по словам Кроули, большинство организаций стали опытными в аутентификации, особенно в связи с растущим использованием многофакторной аутентификации и биометрической аутентификации (например, распознавания лица или радужной оболочки глаза). В последние годы, поскольку громкие нарушения данных привели к продаже украденных парольных учетных данных в темной сети, специалисты по безопасности более серьезно относятся к необходимости многофакторной аутентификации, добавляет он.

По словам Кроули, авторизация по-прежнему остается той областью, в которой специалисты по безопасности «все чаще путаются». Для начинающих может быть сложно определить и постоянно отслеживать, кто получает доступ к каким ресурсам данных, как они должны иметь к ним доступ и при каких условиях им предоставляется доступ. Но непоследовательные или слабые протоколы авторизации могут создать дыры в безопасности, которые должны быть идентифицированы и подключены как можно быстрее.

Говоря о мониторинге: как бы ваша организация ни внедрила контроль доступа, он должен постоянно контролироваться, говорит Чесла, как с точки зрения соответствия вашей корпоративной политике безопасности, так и с точки зрения работы, чтобы выявить любые потенциальные дыры в безопасности. «Вам следует периодически проводить анализ управления, рисков и соответствия», – говорит он. «Вам необходимо повторять сканирование уязвимостей для любого приложения, выполняющего ваши функции контроля доступа, и вы должны собирать и отслеживать журналы при каждом доступе для выявления нарушений политики».

В современных сложных IT-средах контроль доступа следует рассматривать как «живую технологическую инфраструктуру, которая использует самые сложные инструменты, отражает изменения в рабочей среде, такие как повышение мобильности, распознает изменения в устройствах, которые мы используем, и связанные с ними риски, и принимает во внимание растущее движение к облаку», – говорит Чесла.