Контекстуальный доступ. Как данные о поведении пользователей и устройств помогают усилить безопасность
Изображение создано нейросетью на shutterstock.com
Что такое контекстуальный доступ
Контекстуальный доступ — это концепция доступа к ресурсам, основанная на анализе данных о поведении пользователей и устройствах для повышения уровня безопасности в информационных системах. Контекстуальный доступ подразумевает, что уровень доступа к ресурсам системы определяется не только на основе статических атрибутов пользователя, таких как имя и пароль, но и с учетом динамических факторов.
Например, в нашей системе управления доступом RooX UIDM заложена возможность учитывать множество параметров в момент входа или запроса на данные или действия: IP-адрес, геолокацию, параметры устройства, способ аутентификации, время и другие.
Управлять доступом (разрешать, блокировать, ограничивать, запрашивать дополнительные факторы, отправлять различные уведомления) в зависимости от контекста можно при входе в веб-сервисы, мобильные и десктопные приложения и даже операционную систему. Например, в RooX UIDM появилась новая возможность кастомизировать сценарий входа в Windows: можно добавлять второй фактор (OTP SMS, TOTP, push и другие) и осуществлять дополнительные проверки: например, блокировать доступ после нескольких неудачных попыток входа или обрабатывать события из SIEM. Добавлять шаги в сценарии входа в Windows можно с учетом различных условий (доверенное устройство, версия Windows, наличие критичных обновлений и так далее), то есть сделать аутентификацию адаптивной.
Преимущества контекстуального доступа
Проектирование, разработка и внедрение аутентификации и авторизации с учетом контекста, конечно, требуют больших ресурсов, чем при простых сценариях входа, однако это окупается при защите чувствительных данных.
- Усиленная безопасность: использование большого количества факторов для анализа позволяет более точно определить, является ли попытка доступа легитимной или подозрительной.
- Гибкость: можно предоставлять разные уровни доступа в зависимости от контекста.
- Улучшенный пользовательский опыт (UX): снижая число проверок в тех случаях, где риск минимален, вы делаете взаимодействие пользователя с системой более комфортным.
Примеры сценариев аутентификации и авторизации
Приведем несколько примеров использования контекста при доступе к ресурсам предприятия.
- Геолокация. Представим сотрудника, который обычно входит в систему с офисного компьютера. Если произойдет попытка входа из другой страны, то система может запросить дополнительное подтверждение личности, например, двухфакторную аутентификацию.
- Параметры устройства. Служба безопасности компании выпустила директиву обновить операционную систему на корпоративных устройствах до последней версии. Через несколько дней доступ в информационные системы компании с устройств со старыми версиями ОС ограничивается или даже блокируется.
- Сеть. Если сотрудник логинится из офисной сети, он вводит только логин и пароль. Если же вход производится извне, например, он работает удаленно или вышел в кафе и подключился там к Wi-Fi, то ему нужно будет ввести второй фактор. Также в этом случае целесообразно установить более жесткий лимит на длину сессии.
- Время суток. Представим сотрудника со штатным расписанием работы с 9:00 до 18:00. Если он попытается войти на рабочий компьютер за пределами этого диапазона, например, в 3:00, то система может запросить дополнительные проверочные данные или заблокировать вход, а также отправить в службу безопасности уведомление о подозрительном входе.
- Время с последнего входа. Представим, что вы подключали к системе представителей подрядчика. И кто-то из них пытается зайти в вашу систему после некоторого перерыва. Вы не можете гарантировать, что у подрядчика идеально поставлен процесс информирования вас о кадровых событиях. Например, этот человек может уже не работать у подрядчика. На этот случай можно настроить запрос дополнительного кода, присылаемого на его рабочую почту. Если у человека все еще есть доступ к корпоративной почте, это в какой-то степени доказательство, что он все еще является сотрудником.
- Аномальное поведение. Системы безопасности могут отслеживать поведение пользователя на системах и выявлять аномалии. Например, если сотрудник внезапно начинает выгружать большие объемы данных, это может быть признаком нарушения. Можно настроить систему управления доступом так, чтобы она ограничивала права или даже осуществляла разрыв всех текущих сессий пользователя при обнаружении аномалий.
В нашей системе управления доступом RooX UIDM мы строим авторизацию на базе атрибутивной модели доступа (ABAC), в которой концептуально заложена возможность применять различные параметры для уточнения политик доступа. Что касается аутентификации, в RooX UIDM доступно более 30 методов аутентификации, которые можно собирать в сценарии-цепочки, также используя информацию из контекста операции.
Мы развиваем RooX UIDM в данном направлении, так как это отвечает стремительным изменениям в мире, которые повлияли на подходы к безопасности. Жесткие политики, ранее обеспечивавшие защиту, уже не столь эффективны в мире, где традиционные периметры безопасности теряют свою актуальность, поскольку сотрудники все чаще используют для работы личные устройства и работают вне офиса.
Контроль доступа теперь должен быть адаптивным и сосредоточенным на уровне приложений. Правила доступа, учитывающие контекст, становятся ключевым элементом в создании безопасной и продуктивной рабочей среды, где пользователи могут уверенно взаимодействовать с системами, а организации — защищать свои ресурсы.
Опубликовано 26.09.2024
