Securelist недавно опубликовал статью эксперта «Лаборатории Касперского» Кирилла Круглова «Дыры в защите корпоративной сети: контроль доступа». В своей статье г-н Круглов излагает несколько нестандартные взгляды на общепринятый подход, который системные администраторы используют для защиты критически важных систем от несанкционированных изменений и для снижения риска возможных атак на корпоративную сеть. ИТ-специалисты по обыкновению предоставляют ограниченные права всем пользователям, кроме администраторов.
В то же время, любой из них может войти в систему удаленно, чтобы быстро решить проблему; иногда все администраторы используют для этого «общий» аккаунт. Почти каждый может получить локальные права администратора по запросу. В целом, по словам Круглова, традиционная защита пользователей основана на принципе «лучше пропустить вредоносную программу, чем заблокировать нечто очень важное».
Противоречат ли друг другу #whitelisting и непрерывный рабочий процесс?
Tweet
«Хотя на самом деле отсутствие прав администратора не является серьезным препятствием как для вредоносного программного обеспечения, так и для хакера, проникающего в корпоративную сеть. Во-первых, любая система имеет десятки уязвимостей, которые дают необходимые права вплоть до привилегий на уровне ядра. Во-вторых, существуют угрозы, требующие для реализации лишь стандартных пользовательских привилегий», — пишет Круглов. Действительно эффективная защита критически важных систем требует более тонкой настройки для предотвращения локальных и доменных атак, а также куда большего внимания ИТ-персонала. Недостаточно просто ограничить везде доступ всем, кроме администраторов. Круглов признает, что многие пользователи с подозрением относятся к любым ограничениям и готовы к негативному их влиянию на рабочий процесс, даже если такового и не случается.
Для эффективной защиты инфраструктуры компании в целом необходимо точно знать, что требует заботы и присмотра — какое оборудование, какие подсистемы и т.п. И какие виды защиты требуются для каждого из подопечных. Затем уровни доступа пользователей подлежат распределению в соответствии с бизнес-процессами и ролями конкретных работников. Круглов очерчивает этот перечень требований к эффективной защите критически важных систем еще в начале своей статьи.
В конце концов, он повторяет, что почти невозможно обеспечить высокий уровень защиты рабочих станций простым отказом от предоставления пользователям прав администратора. Вдобавок, установка антивирусного программного обеспечения на рабочей станции не решит всех проблем. Круглов настаивает на том, что инструменты управления приложениями со встроенными динамическими белыми списками — технологиями проверки подлинности — это лучший выбор.
Пользователи не должны все время натыкаться на ограничения #enterprisesec
Tweet
Притом что запрет по умолчанию, который допускает работу только приложений из белого списка, кажется чересчур строгим, на деле он дает конечным пользователям много большую гибкость, вместо того чтобы сразу вырубить все привилегии на локальных системах. С белыми списками инструментов управления приложениями пользователям не придется постоянно спотыкаться о досадные ограничения. В то же время, такой подход сильно ограничит вероятную площадь атаки и шансы на преступное проникновение. Полный текст статьи доступен здесь.