Тренды-2022 в безопасности: роль лицевой биометрии в концепции Zero Trust
Zero Trust — это концепция безопасности, основанная на идее «нулевого доверия»
Изначально модель применялась исключительно в контексте защиты информационной инфраструктуры компании. Однако в последнее время стратегия «нулевого доверия» также применяется и в физической безопасности. Основополагающий принцип Zero Trust звучит так: «никогда никому не доверяй и всегда проверяй». Как трактуется этот постулат в современных системах безопасности? И какова роль биометрии при реализации модели Zero Trust? Разбираемся вместе с командой РекФэйсис
Содержание
- От «безопасного периода» к «нулевому доверию»
- Основные области Zero Trust в информационной безопасности
- Защита сети
- Защита устройств
- Защита пользователей
- Работа с пользователями в концепции Zero Trust
- Пересчитать всех
- Модель наименьших привилегий
- Аутентификация
- Zero Trust и биометрия в информационной безопасности
- Zero Trust и биометрия в физической безопасности
От «безопасного периода» к «нулевому доверию»
Первым концепцию Zero Trust еще в 2010 году сформулировал аналитик американской компании Forrester Джон Киндерваго. Согласно его идее, для защиты информационных ресурсов компаниям необходимо отказаться от понятия «безопасного периметра» и постоянно проверять всех пользователей и все устройства, имеющие отношения к корпоративной сети.
В «нулевых» для специалистов по информационной безопасности приоритетной являлась защита границ локальной сети от несанкционированного проникновения. При этом зона внутри периметра считалась по определению безопасной. Однако годы шли, на смену локальной IT-инфраструктуре пришли облачные сервисы, а на смену корпоративным устройствам — концепция BYOD (Bring Your Own Device), когда сотрудники приносят в офис личные устройства: ноутбуки, телефоны, планшеты и т.д. Распространение получил интернет вещей (IoT) с его умными колонками, лампами и чайниками, которые также становятся возможной мишенью для кибератаки. Точкой невозврата в концепции «безопасного периметра» оказалась пандемия коронавируса, когда миллионы людей по всему миру отправились на удаленку. Стало очевидно, устройства могут быть скомпрометированы, а пользовательские данные похищены в любой момент. А, значит, проверки безопасности не должны ограничиваться моментом подключения к сети.
Основные области Zero Trust в информационной безопасности
Защита сети
Чтобы похитить информацию мало просто проникнуть в локальную сеть: нужно иметь возможность перемещаться внутри нее. Для достижения максимальной безопасности сети Zero Trust предлагает использовать принцип микросегментации, когда сеть и другие ресурсы разбиваются на небольшие изолированные зоны внутри общего периметра. Каждый из таких сегментов отличается отдельной политикой безопасности и правами доступа. И даже если злоумышленник попадет в одну зону, продвинуться дальше и распространить угрозу на всю сеть он не сможет.
Защита устройств
Какой бы разветвленной ни была корпоративная сеть, служба информационной безопасности обязана знать абсолютно каждое устройство с возможностью доступа. И это не только рабочие или личные компьютеры сотрудников. Это и смартфоны, и внешние жесткие диски, и многочисленные «умные устройства», число которых растет с каждым годом. Да, инвентаризация всех устройств и регулярный мониторинг их состояния — задача не из легких. Однако как говорилось выше, слабым звеном в системе безопасности иногда становится даже «умная» кофеварка, установленная дома у сотрудника.
Защита пользователей
Человеческий фактор традиционно является самым уязвимым местом любой стратегии безопасности. Особенно, когда человек работает удаленно, и отслеживать все его действия физически просто невозможно. Известны истории, когда «положить» сеть компании удавалось детям сотрудника, установившим на домашний компьютер вредоносную программу. То есть в основе атаки совсем не обязательно должен лежать некий злой умысел. Сотрудник может проявить банальную неосторожность и попасться на «фишинговую удочку». А пострадают в результате ресурсы всей компании.
Работа с пользователями в концепции Zero Trust
С точки зрения концепции Zero Trust потенциальной угрозой безопасности компании является любая попытка доступа к корпоративной сети. Принцип «этому человеку можно доверять, а этому нет» — не работает, так как надежных пользователей в этой модели не существует в принципе. Перечислим базовые принципы по минимизации «человеческого фактора» в стратегии «нулевого доверия».
Пересчитать всех
Как и устройства доступа, все пользователи должны быть пересчитаны и разбиты на группы. Причем не только сотрудники, но и посетители, партнеры или подрядчики. Абсолютно все, кто имеет хотя бы минимальное право доступа к сети компании.
Модель наименьших привилегий
Этот принцип подразумевает введение жестких ограничений прав доступа для каждого пользователя. Любой должен довольствоваться необходимым для выполнения рабочих задач минимумом. Например, сотрудник бухгалтерии не может получить доступ к информации отдела маркетинга, а маркетолог — к материалам по финансовой отчетности. В этом случае, если учетная запись одного пользователя будет скомпрометирована, злоумышленники доберутся только до части данных, но не до всех ресурсов компании.
Аутентификация
Надежная и сильная аутентификация является основой основ Zero Trust. Ошибка при выборе способа подтверждения личности пользователя может свести на нет все усилия по выстраиванию стратегии «нулевого доверия». Несмотря на очевидность этой истины, вопрос о том, какую аутентификацию считать по-настоящему надежной, по-прежнему остается открытым.
Самым популярным методом проверки пользователя остаются пароли. Однако этот способ имеет массу недостатков. Кража паролей чаще всего становится причиной утечек данных и хакерских атак. Сложные пароли только усугубляют проблему. Многие сотрудники физически не могут запомнить длинную комбинацию из цифр, букв и символов. В результате пароль просто записывают на бумажке, которую затем нередко хранят прямо на рабочем столе. Более продвинутый способ — многофакторная аутентификация, состоящая из паролей, PIN-кодов или комбинаций цифры из SMS или специальных приложений-аутентификаторов. Для мобильных устройств существует вариант подтверждения личности пользователя по данным SIM-карты, установленной в телефоне и идентифицированной мобильным оператором. Но, к сожалению, смартфоны и SIM-карты тоже не застрахованы от кражи и взлома.
Zero Trust и биометрия в информационной безопасности
Наиболее надежной альтернативой паролям сегодня является аутентификация по биометрическим данным. И, прежде всего, по лицевой биометрии. Главное ее преимущество заключается в неотчуждаемости фактора доступа: лицо человека невозможно ни похитить, ни взломать. Рассмотрим на примере Id-Logon — готового программного биометрического решения от компании РекФэйсис, предназначенного для аутентификации пользователей в информационных системах.
- Аутентификация должна проводиться постоянно
- Контроль над доступом неавторизованных лиц
- Дополнительная проверка при совершении важных операций
- Возможность многофакторной аутентификации
- Защита от дипфейков и незаконного доступа Для борьбы с попытками входа в систему с помощью фото или видео пользователя с правом доступа в программном решении предусмотрены алгоритмы Liveness. Они позволяют системе удостовериться, что за устройством находится живой человек. Кроме того, сам алгоритм распознавания лиц отличается высокой точностью. Вероятность отказа в доступе имеющему на это право сотруднику составляет менее 3%, а предоставления доступа неавторизованному лицу — не превышает 0,0001%. При неоднократной попытке пройти аутентификацию или авторизоваться с помощью фотографий или видео возможно полное блокирование устройства.
Личность пользователя проверяется не только при входе в систему, но и в процессе работы. Опция проверки в фоновом режиме позволяет удостовериться, что человек по-прежнему за компьютером. Если система «не видит» сотрудника, частота проверок увеличивается, а через выбранный временной промежуток доступ к устройству автоматически блокируется. Для продолжения работы потребуется пройти новую аутентификацию.
Допустим, сотрудник успешно авторизуется, но затем за его столом оказывается коллега или вовсе посторонний человек. В этом случае по итогам фоновой проверки система уведомит об инциденте отдел информационной безопасности. Или же вовсе заблокирует доступ, если прописан такой сценарий работы.
Программное решение может быть подключено к DLP-системам защиты от утечек данных или другим системам контроля. При подозрительной активности пользователя или при проведении значимых операций система дает сигнал на проведение внеочередной биометрической проверки. Все факты таких подтверждений хранятся в специальном архиве. Поэтому при необходимости служба безопасности или руководство компании всегда могут проверить, кем и когда была проведена конкретная операция.
Биометрическую проверку пользователей можно применять как отдельно, так и в связке с паролями, пин-кодами и другими факторами.
Zero Trust и биометрия в физической безопасности
Концепция Zero Trust может быть реализована не только в информационной, но и физической безопасности, где главной «уязвимостью» остается человек. Вне зависимости от того, кто он: сотрудник, посетитель или даже специалист службы безопасности. Следуя принципу «никому не доверяй», необходимо всегда знать наверняка, кто находится на территории предприятия. Стандартные карты доступа такой уверенности не дают: мы лишь знаем, что через турникет или дверь прошел человек, имеющий определенный идентификатор. Но никогда не можем быть уверены: а он ли это был в реальности, или карта оказалась в руках у постороннего лица.
Для «нулевого доверия» в физической безопасности также предпочтительней использовать идентификацию по лицевой биометрии, так как лицо практически невозможно ни подделать, ни передать другому. Кроме того, такой тип идентификации решает проблему потерянных или забытых пропусков, а также избавляет от необходимости в спешке искать пропуск перед турникетом или другим устройством СКУД. Процедура пропуска становится быстрее и комфортнее. Например, идентификация одного человека с помощью программного решения Id-Gate от РекФэйсис занимает менее одной секунды.
Биометрия позволяет добиться непрерывности контроля, что также соответствует концепции Zero Trust. Не просто единожды проверить личность человека в момент доступа на предприятие, но и продолжать контроль, когда тот уже находится на территории. А также отслеживать и пресекать возможные нарушения права доступа. Например, в помещения, требующие особой защиты, или даже в отдельные изолированные зоны на открытом воздухе. При это совсем не обязательно ставить дополнительное оборудования или устройства физического контроля. Достаточно развернуть сеть виртуальных точек контроля доступа на базе Id-Guard. С их помощью можно не только контролировать наличие посторонних на объекте, но и регулировать права доступа сотрудников к определенным локациям. Если камера зафиксирует постороннего человека, система автоматически уведомит об этом охрану. Так, разработанное РекФэйсис программное решение Id-Guard позволяет быстро пресекать факты проникновения на территорию людей без права доступа, работать со стоп-листами и проводить оперативные расследования возможных инцидентов безопасности.
Важно отметить, что кроме злоупотреблений со стороны сотрудников или посетителей в физической безопасности есть еще одна потенциальная точка компрометации. А именно сотрудники ресепшн, бюро пропусков и службы безопасности. То есть те уполномоченные лица, которые наделяют правом доступа других. Следуя модели Zero Trust, их также необходимо подвергать постоянным проверкам. Особенно, когда речь идет о каких-либо значимых действиях: от выдачи пропуска до работы с каким-либо важными документами. Здесь физическая безопасность вступает в тесное взаимодействие с информационной безопасностью. Круг замыкается, и мы возвращаемся к проблеме точной аутентификации сотрудников, имеющих доступ к учетным системам, о которой мы говорили ранее.
Реализация концепции Zero Trust — это трудоемкий процесс, требующий значительных временных затрат. Систематизировать сотрудников с разным правом доступа, провести исчерпывающую инвентаризацию устройств, обновить морально устаревшее программное обеспечение, не подходящее под современные стандарты безопасности — задача не из легких. Для сравнения: у Google ушло около семи лет на создание системы BeyondCorp. Это фреймворк, основанной на модели «нулевого доверия» и изначально предназначавшийся для внутреннего использования. В 2020 году на его базе был создан облачный продукт BeyondCorp Remote Access, дающий сотрудникам возможность безопасного удаленного доступа к внутренним ресурсам компании с любого устройства без использования VPN. Разумеется, это исключительный пример. Но даже компаниям среднего размера требуется, как минимум, несколько месяцев. В качестве альтернативы реализацию концепции можно проводить постепенно, начав с пересмотра правил верификации и аутентификации пользователей. Например, внедрив в работу компании биометрическую аутентификацию. Современные программные решения в области биометрии не требуют ни масштабных вложений в обновление инфраструктуры, ни сложной инсталляции, но при этом полностью отвечают идее «нулевого доверия». Так установка биометрических продуктов РекФэйсис занимает 20 минут. Этого времени достаточно, чтобы пользователь получил полноценный и надежный продукт с полным функционалом.
Подробнее о сценариях использования и технических характеристиках программных решений РекФэйсис можно узнать здесь.
(Пока оценок нет)
