БЕЗОПАСНОСТЬ
Forrester Research утверждает, что NAC-продукты не справляются со своими задачами
Аналитики Forrester Research рекомендуют компаниям готовиться к тем изменениям, которые ожидаются на рынке решений контроля сетевого доступа (Network Access Control, NAC). Это произойдет, по их мнению, уже в ближайшие годы, когда производители NAC-систем перейдут к выпуску новых программных средств, использующих технологию защиты конечных точек для проактивного управления рисками.
В докладе, озаглавленном "Управление клиентами 2.0" (Client Management 2.0), сотрудники Forrester Натали Ламберт и Роберт Уайтли предсказывают исчезновение нынешних NAC-продуктов, характеризующихся, по их словам, высокой сложностью и недостаточной интероперабельностью. Тем, кто управляет текущими операциями, необходимо унифицированное решение, заявила Ламберт в интервью еженедельнику eWeek. "Компании полагают, будто устанавливают инструменты, позволяющие им решать проблемы бизнеса. Однако оказывается, что они получают в свое распоряжение такое количество решений, с которым им никак не справиться, - сказала она. - Тогда они пытаются их консолидировать, но не находят подходящих продуктов, где были бы реализованы все необходимые им функции".
В исследовании утверждается также, что многие системы NAC обеспечивают главным образом соблюдение политики в области безопасности вместо того, чтобы вносить исправления в не соответствующие предъявляемым требованиям компьютеры. Таким образом, они не в состоянии защитить от новых угроз.
Кроме того, аналитики полагают, что использование ныне существующих систем NAC зачастую приводит к тому, что для управления одним и тем же процессом создается несколько политик.
Ламберт и Уайтли считают, что решением этих проблем должны стать программные технологии на основе правил, действующие посредством интеграции средств обеспечения безопасности конечных точек, контроля доступа, управления идентификацией и рисками. Это новое поколение продуктов, обеспечивающих безопасность клиентских компьютеров и сетей, они называют "проактивным управлением рисками в конечных точках" (proactive endpoint risk management, PERM).
PERM дает предприятиям преимущества как с точки зрения текущих операций, так и в отношении технологии, сказала Ламберт. По ее словам, большинство фирм нацеливает своих специалистов по безопасности на управление рисками и решение проблем, связанных с соблюдением наиболее общих нормативных требований. А когда защита от угроз и приведение систем в соответствие с законодательством достигают определенного уровня развития, этим сотрудникам поручают выполнение текущих задач информационной службы. Ламберт считает ошибкой, что решения NAC используются теми же людьми, которые обслуживают текущие процессы в сети. "Те, кто контролирует сетевые операции, как правило, мало внимания уделяют динамическим, связанным с активным применением политик задачам, которые требуют управления десятками и даже тысячами устройств, - пояснила она. - Мы считаем, что настольные ПК, снабженные инструментами управления и обеспечения безопасности на основе политик, представляют собой гораздо более подходящее место для применения NAC". С технической точки зрения, добавила она, такое решение выглядит более совершенным.
"Обеспечение безопасности конечной точки означает, что вы управляете всем ее жизненным циклом, - уверена Ламберт. - Но имеющиеся сегодня решения NAC не уделяют полному жизненному циклу достаточного внимания. Вместо этого они специализируются либо на сканировании компьютера перед предоставлением ему доступа в сеть, либо на мониторинге после его подключения к сети. Некоторые решения делают и то и другое, но пренебрегают внесением исправлений в ПО клиентских ПК".
Прежде чем концепция PERM будет воплощена в рыночных продуктах, по мнению Ламберт, произойдет масштабная консолидация и самих продуктов, и производителей. Она сказала, что этот процесс уже начался. Такие поставщики, как McAfee, интегрируют традиционные средства обеспечения безопасности клиентских ПК с инструментами предотвращения утечек информации и управления уязвимостями.
Многие производители согласны с мнением, что системы NAC изменятся. Однако не все они готовы идти тем путем, который наметили в Forrester. Представители Cisco, например, заявили, что Forrester использовала слишком узкое определение NAC, поскольку оно охватывает только проверку "состояния здоровья" в конечной точке. Брендан О’Коннелл, менеджер Cisco по маркетингу NAC-продуктов, сказал, что многие разработчики NAC замыкаются исключительно на проверке того, установлено на компьютере самое свежее антивирусное ПО или нет. Он назвал это "мертвой зоной в мозгу". NAC-продукт, по его мнению, должен включать четыре компонента: аутентификацию, карантин, оценку состояния и исправление выявленных недостатков. А его коллега Айрин Сендлер опровергает сделанный в докладе вывод о том, что нужно меньше внимания уделять работе сетей. По ее мнению, наоборот, решения NAC должны улучшать сетевую работу. Сеть - это то место, где принимается большинство решений.
Майк Шульц, директор Microsoft по управлению продуктами для обеспечения безопасности и контроля доступа, сказал, что политики следует применять в сети. Правда, NAC-продукты, по его словам, выйдут за рамки нынешнего подхода, в соответствии с которым они рассматриваются как сетевые. "Сегодня клиенты развертывают несколько продуктов для обеспечения безопасности конечных точек, таких как антивирусное ПО и средства для установки исправлений. Но их работоспособность и поддержка в актуальном состоянии зависят от конечного пользователя, - заявил он. - Пользователи легко могут прийти в противоречие с требованиями нормативных актов. Продукты для защиты сетевого доступа [Network Access Protection, NAP] решают эту проблему, перенося в сеть контроль за соблюдением ИТ-политики".
Однако Ламберт считает, что фирмы не должны привязывать свою политику доступа к сетевому оборудованию. "Эту политику следует увязать с современными технологиями обеспечения безопасности и управления, которые способны выполнить основную часть работы, предоставив сетевым устройствам контроль за соблюдением на клиентских компьютерах принятых требований", - сказала она. Кроме того, она отстаивает идею реорганизации ИТ-служб, в соответствии с которой за процессы в конечных точках должны отвечать специалисты по безопасности и ИТ-операциям. Они лучше других подготовлены, чтобы разработать политику, обеспечивающую управление вычислительной средой и ее безопасность.