Кибербезопасность, которая не влияет на работу систем и пользователей – это возможно?

Эффект наблюдателя в квантовой физике утверждает, что наблюдение или измерение системы или события неизбежно изменяет наблюдаемый/измеряемый объект. Другими словами, инструменты или методы, используемые для измерений, каким-то образом взаимодействуют с измеряемой системой/событием.

 

В качестве примера рассмотрим измерение напряжения в цепи или на аккумуляторе.
Для проведения вычислений вольтметр вносит незначительное, но измеряемое количество напряжения в цепь, изменяя, таким образом, общую силу тока (I), доступную для системы. Если измерение проводилось интрузивными методами или не имело достаточно высокого сопротивления (R) (закон Ома U=IR), то такое измерение может повлиять также на текущее и потенциальное напряжение (U).

 

Хотя эффекты наблюдателя обычно не принимаются во внимание, но наблюдаемый  объект может все же подвергаться изменению. И иногда эти изменения могут повлиять на наше восприятие всей системы, потому что измерение по своей сути намного интрузивнее, чем предполагается. Этот эффект можно встретить во многих областях от физики до электроники и даже цифрового маркетинга. В этой статье мы разберемся, какую роль играет наблюдатель в сфере кибербезопасности .

 

 

Каждое измерение, производимое для проверки кибербезопасности, влияет на всю систему. Это верно даже для простого сканирования на наличие вирусов, так как ресурсы, используемые для ведения журнала, контроля CPU, времени загрузки, памяти, сетевого трафика и т.д., могут изменяться в ходе проведения измерений для оценки кибербезопасности.

 

В идеале измерения кибербезопасности должны проводиться с минимальным воздействием или совсем без воздействия на измеряемый объект, но как часто это бывает на самом деле? Можно ли в среде внедрить безопасность, которая не влияет на системы? Ответ может удивить вас.

 

Как мы установили, каждое измерение кибербезопасности действительно изменяет систему, при этом оно увеличивает время процесса. Если все измерения являются последовательными, то каждое измерение добавляет фрагмент необходимой информации для измеряемого параметра, и анализ безопасности проводится на основе всех фрагментов.

 

Однако, при параллельном выполнении измерений и логических решений (при условии, что у системы достаточно ресурсов для одновременного выполнения этих двух процессов), интервал времени, необходимый для выполнения измерений, можно уменьшить, в этом случае уменьшится и воздействие, потому что измерение

имеет конечные временные рамки. Это касается параллельной обработки. Для реализации безопасности, которая не воздействует на систему (в действительности мы говорим о минимальном воздействии или удобной безопасности с нулевым воздействием), измерения безопасности и логика действий должны работать одновременно с регулярными процессами, а не выполняться последовательно.

 

Рассмотрим следующие два сценария.

 

 

Перед применением многофакторной или двухфакторной аутентификации к ресурсу инструмент безопасности вводит в рабочий процесс новые шаги для валидации пользователя. В добавление к традиционным учетным данным вносится второй фактор для физической валидации пользователя. Для конечных пользователей это
увеличивает время и добавляет новый ресурс, растет уровень раздраженности.
Технология единого входа SSO снимает некоторую часть этого раздражения, так как требует разовую двухфакторную аутентификацию для доступа к группе ресурсов и позволяет не аутентифицироваться после того, как пользователь признан доверенным.

 

Как описано выше, первый запуск второго фактора инициирует рабочий процесс авторизации пользователя в соответствующих приложениях. Приложениям не нужно больше каждый раз запускать двухфакторную аутентификацию при обращении к ресурсам. Этот процесс единого входа теперь работает параллельно с обычной авторизацией и, фактически, обеспечивает более низкое вмешательство, чем требование ввода учетных данных при каждом запуске приложения, даже без двухфакторной аутентификации. Измерение доверия к пользователю проводится интрузивно, разово, с добавлением дополнительных шагов, но впоследствии облегчает работу пользователя благодаря высокому доверию в ходе первоначального измерения.

 

Альтернативный метод является высоко интрузивным и требует учетных данных и двухфакторной аутентификации для каждого приложения, которое запускает конечный пользователь при работе, согласно текущей принятой политике. Это подчеркивает необходимость параллельной обработки.

 

 

Рассмотрим возможности управления паролями в решениях управления привилегированным доступом (PAM) . Эти решения могу производить автоматическую ротацию паролей и сертификатов по расписанию или на основе
использования, так что они постоянно меняются и не являются ценностью, если стали известными инсайдеру или внешнему злоумышленнику .

 

Если пользователю или администратору необходимо использовать эти учетные данные, то обычный рабочий процесс включает аутентификацию в хранилище паролей (к счастью, с помощью второго фактора, как описано выше) и извлечение учетных данных, необходимых для выполнения конкретной задачи. С точки зрения рабочего процесса измерение, когда пользователь обращается к привилегированным учетным данным и предоставляет текущий пароль, является интрузивным для конечного пользователя. Например, пользователь должен лишний раз щелкать мышью, тратит время, запускает дополнительные приложения для выполнения задачи. Это основной сценарий измерения привилегированного доступа, но он обеспечивает небольшую безопасность, если мы не может точно сказать, когда и где используется этот сценарий. Такая модель сильно влияет на систему и требует изменений.

 

Другой ключевой возможностью платформ управления привилегированным доступом является управление сеансами . Эта возможность предоставляет технологию шлюза или прокси для доступа к узлу с целью мониторинга сеансов и, возможно, документирования всех событий безопасности и действий пользователя.
Управление сеансами оказывает незначительное влияние при мониторинге происходящего во время сеанса привилегированного доступа, но требует удаленного подключения через прокси для эффективной работы.

 

Без правильных списков контроля доступа ( access control lists, ACLs ) извлечение пароля из хранилища и удаленный доступ может происходить с предоставлением минимальных возможностей измерения безопасности. Это нежелательное состояние. Когда мы рассматриваем управление паролями и управление сеансами как решение, работающее в тандеме, мы можем решить обе проблемы и внедрить решение кибербезопасности, которое оказывает очень низкое воздействие.

 

С помощью технологии под названием Password Safe Direct Connect – прямое подключение к хранилищу паролей, инструменты, используемые для сеансов удаленного доступа, могут быть автоматически авторизованы на целевом ресурсе с использованием лучших методов аутентификации и обмениваться данными через прокси. Это позволяет управлять риском, связанным с привилегиями, измерять нестандартную активность и гарантировать, что рабочие процессы не оказывают негативного влияния на пользователя.

 

Рассмотрим, как работает технология с низкой степенью воздействия. При использовании большинства технологий удаленного доступа пользователь создает профиль или сохраняет подключения с ключевыми характеристиками подключения. Сюда относятся разрешение экрана, учетные данные, пользовательская информация о командах подключения. Именно последнее является здесь важным.

 

Для аутентификации и запуска удаленного сеанса на прокси-сервер сеанса привилегированного доступа передаются данные об узле, учетном имени, которые являются частью этих пользовательских команд подключения. При этой передаче отправляется информация, относящаяся к локально авторизованным пользователям, и другим параметры, необходимые для правильной аутентификации пользователя.

 

После запуска профиля учетные данные автоматически вызываются из хранилища паролей, ннъектируются в команды подключения, затем проводится измерение, которое относится к извлечению и использованию, а также осуществляется мониторинг сеанса на нестандартное использование (опционально).

 

Конечный пользователь продолжает использовать те же самые инструменты, что и раньше, такие как MS RDP или Putty, испытывая небольшое воздействие или практически не испытывая воздействия инструментов безопасности после запуска сохраненного профиля. Это еще один пример параллельного обеспечения
безопасности.

 

Управление привилегированными паролями само по себе может быть интрузивным для процесса извлечения паролей. Мониторинг сеансов само по себе уязвимо к брешам в системе безопасности, таким как технике бокового смещения, например. При совместном использовании и дополнении друг друга эти два решения могут
действительно создать практически не влияющее на систему решение безопасности.

 

 

Эффект наблюдателя является источником непрерывного беспокойства для практикующих специалистов по кибербезопасности. Многие решения могут оказывать большое влияние на работу систем в среде и создавать нежелательные задержки, единые точки отказа или изменять работу систем, что негативно влияет на пользователей, операции, производительность.

 

Измерение и внедрение безопасности всегда будет оказывать влияние на системы, но задача заключается в том, чтобы сделать их как можно более незаметными, особенно мдля конечного пользователя. Конечно, достичь нулевого воздействия не представляется возможным, но идея незначительного воздействия после установки таких систем определенно точно имеет право на жизнь. Когда вы оцениваете решение безопасности от одного вендора или нескольких вендоров, спросите, как решения могут работать параллельно или использоваться в тандеме, чтобы создать среду, которая не воздействует на системы и пользователей. Нужно понимать, что если эти решения работают последовательно или оказывают большое воздействие на системы, то не только пользователи отвергнут их, пострадает возможность сбора мточных измерений кибербезопасности!