Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах

Новини ИТ сигурност

Какво е контрол на достъпа?

Повечето специалисти по сигурността разбират колко критичен е той за тяхната организация, но не всеки е съгласен, че трябва да бъде прилаган стриктно

от , 13 февруари 2018 0 3636 прочитания,

Кой трябва да има достъп до данните на компанията ви? Как да се уверите, че тези, които се опитват да получат достъп, действително са оторизирани за такъв? При какви обстоятелства отказвате достъп на потребител, който има такива?

 

1

Прочетете още: Коя е най-сигурната операционна система?

За да защитите ефективно вашите данни, политиката за контрол на достъпа на вашата организация задължително трябва да адресира тези (и други) въпроси. В този материал ще разгледаме основите на технологията за контрол на достъпа - какво представлява той, защо е важен, кои организации се нуждаят най-много от него и с кои предизвикателства специалистите по сигурността могат да се справят с въвеждането и поддръжката на подобно решение.

Дефиниция за контрол на достъпа

На високо ниво, контролът на достъпа е селективно ограничаване на достъпа до данни. Той се състои от два основни компонента - удостоверяване и оторизация”, казва Даниел Кроули, ръководител на изследванията в звеното за тестове за проникване на IBM - X-Force Red, което се фокусира върху сигурността на данните.

По думите му удостоверяването е техника, която се използва, за да се потвърди, че някой е точно този, който твърди, че е. “Удостоверяването само по себе си не е достатъчно, за да защити данните”, отбелязва Кроули и добавя, че е необходим и допълнителен слой за сигурност – оторизация - който определя дали даден потребител трябва да има достъп до данните или да извърши транзакцията, която иска.

В този ред на мисли, контролът на достъпа осигурява гаранция, че потребителите са тези, които казват, че са и имат права за достъпа и дейностите, които искат да извършат.

Колко важен е контролът на достъпа за цялостната сигурност на данните?

Без удостоверяване и оторизация, няма сигурност на данните”, казва Кроули.

При всяко нарушение на данните, контролът на достъпа е сред първите изследвани политики", отбелязва и Тед Вагнер, CISO в SAP National Security Services, Inc и добавя: "Случаите на необмислено излагане на неподходящо защитени чувствителни данни от крайните потребители или нарушения, като това в Equifax, където чувствителни данни бяха изложени през публичен уеб сървър със софтуерна уязвимост, доказват, че контролът на достъпа е ключов компонент. Когато не се прилага правилно или не се поддържа, резултатът може да бъде катастрофален”.

Какви типове организации се нуждаят най-много от контрол на достъпа?

Всяка организация, чиито служители се свързват с интернет - с други думи, всяка организация днес - се нуждае от известно ниво на контрол на достъпа. "Това е особено вярно за компаниите със служители, които работят извън офиса и изискват достъп до корпоративни ресурси и услуги", казва Ави Чесла, изпълнителен директор доставчика в сферата на киберсигурността empow.

Кроули го обяснява по друг начин: “Ако вашите данни могат да имат някаква стойност за някой, който няма разрешение за достъп до тях, тогава вашата организация се нуждае от засилен контрол на достъпа”

5 основни предизвикателства пред контрола на достъпа

 

2

 

 1. Необходимост от постоянни политики

Повечето специалисти по сигурността разбират колко критичен е контролът на достъпа за тяхната организация. Но не всеки е съгласен, че той трябва да бъде прилаган стриктно”, смята Чесла, добавяйки, че той изисква прилагане на устойчиви политики “в този динамичен свят без традиционни граници”. И наистина, повечето от нас работят в хибридни среди, където данните се придвижват от локални сървъри или от облака към офиси, домове, хотели, коли и кафенета с отворени безжични мрежи, което може да затрудни контрола върху достъпа.

"Допълнителен риск носи и тенденцията все по-голям набор от устройства да достъпват корпоративните мрежи, включително компютри, лаптопи, смартфони, таблети, интелигентни високоговорители и други IoT устройства", коментира Чесла. Според него това разнообразие превръща създаването на постоянни политики в истинско предизвикателство.

2. Избор на най-подходящия модел

Организациите трябва да определят подходящия модел за контрол на достъпа, който да отговаря на вида и чувствителността на данните, които обработват”, съветва Вагнер от SAP National Security Services, Inc По-старите модели за достъп включват Discretionary Access Control (DAC) и Mandatory Access Control (MAC). При DAC моделите, собственикът на данни решава кой и как да ги достъпва. Това е система за предоставяне на права за достъп въз основа на правила, определяни от потребителите.

МАС е разработен на базата на модел, при който на хората се предоставя достъп въз основа на информационно разделение. Това е политика, при която правата за достъп се определят въз основа на определени стандарти, налагани от централен орган.

Днес най-разпространеният модел за контрол на достъпа е Row Based Access Control (RBAC). Той дава достъп на базата на ролята на потребителя и изпълнява ключови принципи за сигурност от типа "най-малко привилегии" и "разделяне на привилегиите". По този начин всеки един потребител получава достъп единствено до данните, до които се смята, че е необходимо да достига според спецификациите на ролята си.

Най-новият модел е Attribute Based Access Control (ABAC), при който потребителят се разглежда като съвкупност от обстоятелства. "В този динамичен метод се използва сравнителна оценка на обстоятелствата около потребителя, включително в коя част от деня, на каква позиция е и какво е неговото местоположение, за да се вземе решение за даване на достъп до ресурса", обяснява Вагнер. Според него за всяка организация е необходимо да реши кой би бил най-подходяшият модел за нея въз основа на чувствителността на данните и оперативните изисквания за достъп до тях.

По-специално, организациите, които обработват данни за лична идентификация или други видове чувствителна информация, трябва да заложат контрол на достъпа като основа в архитектурата си за сигурност”, съветва Вагнер.

3. Може да се нуждаете от няколко решения за контрол на достъпа

Редица технологии могат да поддържат различните модели за контрол на достъпа. В някои случаи обаче може да се наложи няколко от тях да работят съвместно, за да постигнат желаното ниво на сигурност.

"Характерът на данните, разпространявани между доставчиците на облачни услуги и приложенията от типа SaaS (Software as a service), свързани с традиционния периметър на мрежата, налага наличието на сигурно решение за контрол на достъпа", отбелязва той и обяснява, че многофакторното удостоверяване може да бъде важен компонент за допълнително подобряване на сигурността.

4. Оторизацията все още е “ахилесова пета” за някои организации

Днес повечето организации вече разполагат с инструменти за установяване на самоличността. Нараства и употребата на системите за многофакторна идентификация и биометрично удостоверяване (като разпознаване на лице или ирис). “След като в последните години големи пропуски в сигурността доведоха до продажбата на огромни масиви откраднати идентификационни данни и пароли в “тъмната мрежа”, специалистите по сигурността приеха присърце необходимостта от многофакторните инструменти”, обръща внимание Кроули от X-Force Red.

Той обаче добавя, че оторизацията все още остава област, в която често не се взимат подходящи мерки. “За много организации е предизвикателство да се определи и постоянно да се следи кой получава достъп до ресурсите и данните им, както и да се вземе решение как те да бъдат достъпвани и при какви условия. Но непоследователните и слабите протоколи за оторизация могат да създадат дупки в сигурност, които трябва да бъдат идентифицирани и затворени възможно най-бързо”, добавя той.

Затова и мониторинга на контрола на достъпа е от изключително значение.

Ако вашата организация избере да прилага контрол на достъпа, той трябва постоянно да бъде наблюдаван както от гледна точка на спазването на вашата корпоративна политика за сигурност, така и от оперативна гледна точка, за да може потенциалните дупки в сигурността да бъдат идентифицирани навреме”, добавя и Чесла от empow. По думите му компаниите трябва периодично да извършват преглед на управлението, риска и спазването на правилата.

 

3

 

 "Необходими са периодични сканирания за уязвимости на всяко приложение, изпълняващо функции за контрол на достъпа. Трябва също така да събирате и следите регистрационните файлове на всеки вход за нарушения на правилата", категоричен е той.

5. Вашите политики за контрол на достъпа трябва да бъдат динамични

В миналото методологиите за контрол на достъпа често бяха статични. Днес обаче достъпът до мрежата трябва да бъде динамичен и гъвкав.

 Една усъвършенствана политика за контрол на достъпа може да бъде адаптирана динамично, за да отговори на развиващите се рискови фактори, като позволява на компания, която е станала жертва на пробив, да изолира съответните служители, ресурси и данни, за да сведе до минимум щетите", смята Чесла.

Компаниите трябва да гарантират, че техните технологии за контрол на достъпа "се поддържат последователно чрез облачните си активи и приложения и че те могат да бъдат мигрирани гладко във виртуални среди като частни облаци", съветва още той и добавя: "Правилата за контрол на достъпа трябва да се променят въз основа на рисковия фактор, което означава, че организациите трябва да разполагат със слоеве за анализ на сигурността, като използват AI и машинно обучение. Те също така трябва да идентифицират заплахите в реално време и да автоматизират правилата си".

В днешните сложни ИТ среди контролът на достъпа трябва да се разглежда като жива технологична инфраструктура, която използва най-сложните инструменти, отразява промените в работната среда като повишената мобилност, разпознава разликите в използваните от нас устройства и присъщите им рискове и взема предвид нарастващата миграция към облака", обобщава Чесла.

КОМЕНТАРИ ОТ  

Полезни страници
    За нас | Аудитория | Реклама | Контакти | Общи условия |
    Действителни собственици на настоящото издание са Иво Георгиев Прокопиев и Теодор Иванов Захов