Условный доступ против расширенного доступа: почему ИТ-администраторам нужно больше, чем просто базовые возможности?

Не так давно большинство компаний использовали имена пользователей, пароли и, возможно, дополнительную верификацию для защиты своих приложений. Раньше это работало, поскольку сотрудники входили в систему из офиса, с устройств, управляемых компанией, через доверенные сети. Безопасность стало проще контролировать.

Теперь всё выглядит иначе. Люди подключаются через домашний Wi-Fi, точки доступа в отелях, коворкинги, сети кафе и личные телефоны. Устройства стареют, обновления выходят с задержкой, а злоумышленники научились красть легитимные учётные данные, а не взламывать межсетевые экраны.

В связи с этими изменениями идентификация сама по себе больше не является надёжным индикатором доверия. Современная безопасность требует более глубокого контекста. Именно поэтому условный доступ стал популярным, и именно поэтому политики расширенного доступа стали привлекать всё больше внимания. Они более глубокие, охватывают более широкий спектр и реагируют на реальную среду, окружающую попытку входа в систему.

В этой статье подробно рассматриваются оба подхода, принципы их работы и причины, по которым ИТ-администраторам теперь может потребоваться нечто большее, чем просто базовые функции.

Что такое условный доступ?

Условный доступ Это подход к безопасности, который проверяет дополнительные сигналы при входе в систему. Вместо того, чтобы разрешать доступ только по имени пользователя и паролю, он оценивает контекст. Он задаёт такие вопросы, как:

• Откуда взялся этот логин?
• Какое устройство использует пользователь?
• Является ли сеть доверенной?
• Нужен ли пользователю MFA?

При несоблюдении определённых правил доступ может быть заблокирован или могут потребоваться дополнительные проверки. Это обеспечивает больший контроль, чем простая проверка входа, и помогает предотвратить очевидные риски.

Как работает условный доступ?

Условный доступ подчиняется логике, основанной на политиках. ИТ-отделы создают правила, которые определяют, когда доступ разрешён, запрещён или запрещён.

Типичные проверки включают в себя:

• Диапазоны IP-адресов: Разрешить доступ только из определенных сетей.
• Локации: Блокировать попытки входа из определенных регионов.
• Платформа устройства: Различные правила для настольных компьютеров, мобильных устройств и планшетов.
• Тип приложения: Облако против локального решения.
• Уровень риска: Подозрительные схемы входа в систему.
• Требования МИД: Дополнительная проверка для конфиденциальных приложений.

Если какое-либо из этих условий не выполняется, доступ либо запрещается, либо ограничивается.

Он действует как охранник у двери, проверяя как личность, так и немного контекста.

Преимущества условного доступа

Условный доступ усиливает безопасность на основе идентификации, добавляя контекст и правила, регулирующие, как пользователям разрешено входить в систему. Вместо того, чтобы обрабатывать все входы одинаково, он оценивает такие условия, как местоположение, сеть, устройство и сигналы риска, прежде чем предоставить доступ. Вот некоторые из ключевых преимуществ:

• Лучшая защита от подозрительных входов: Если кто-то попытается войти из необычной страны или сети, условный доступ может поставить под сомнение сеанс или полностью заблокировать его. Это останавливает злоумышленников, использующих украденные пароли или подмену учётных данных.
• Более разумное применение MFA: Вместо того, чтобы принуждать многофакторная аутентификация (MFA) Везде условный доступ применяется только при необходимости. Например, вход из доверенной сети может не требовать дополнительных действий, в то время как вход через гостиничный Wi-Fi может активировать многофакторную аутентификацию (MFA). Это позволяет достичь баланса между удобством и безопасностью.
• Решения о доступе, принимаемые на основе контекста: Администраторы могут устанавливать правила на основе ролей пользователей, конфиденциальности приложения, типа устройства и платформы. Это предотвращает несанкционированный доступ и защищает ценные ресурсы благодаря более строгому контролю.
• Снижение подверженности риску сетей: Условный доступ может блокировать входы с неизвестных IP-адресов, анонимных прокси-серверов или заблокированных регионов. Он ограничивает возможности злоумышленников, скрывающихся за VPN.
• Лучшая поддержка гибридной работы: Когда сотрудники переключаются между офисным Wi-Fi, мобильными данными и домашними сетями, условный доступ обеспечивает единообразие основных проверок безопасности везде.
• Видимость событий риска: Журналы аудита позволяют легко отслеживать, когда были применены правила, помогая службам безопасности быстрее расследовать подозрительную активность.
• Согласование Zero Trust: Zero Trust означает «никогда не доверяй, всегда проверяй». Условный доступ обеспечивает проверку личности прямо на этапе входа в систему, что делает его основополагающим элементом этой структуры.
• Сокращение ручного контроля: Вместо того, чтобы рассматривать запросы на доступ по одному, условный доступ автоматизирует принятие решений. Политики обрабатывают утверждения, запросы и блокировки без вмешательства ИТ-специалистов.

Условный доступ даёт организациям надёжную основу. Он проверяет личность и среду, прежде чем разрешить кому-либо доступ к облачным приложениям, что снижает вероятность наиболее распространённых видов несанкционированного доступа.

Что такое расширенный доступ?

Расширенные политики доступа (XAP) Развивая концепцию контекста, XAP анализирует не только идентификационные данные и базовые сигналы, но и более детально анализирует среду входа. Он фокусируется на поведении устройства, его соответствии требованиям и возможных скрытых рисках.

Расширенные политики доступа учитывают:

• Положение устройства
• Отсутствуют обновления ОС или исправления безопасности
• Необходимые приложения и агенты
• Репутация IP
• Сигналы соответствия устройства
• Несоответствия местоположения

Если что-то не так, доступ можно мгновенно ограничить или заблокировать.

Такой подход устраняет уязвимости, на которые обычно нацелены злоумышленники.

Как работает расширенный доступ?

Расширенные политики доступа работают, непрерывно оценивая состояние устройства во время входа в систему. Они проверяют работоспособность устройства, его безопасность и наличие доступа к запрошенному приложению. Эта оценка происходит в режиме реального времени.

Некоторые из исследованных сигналов включают:

• Установлены ли необходимые приложения безопасности
• Актуальна ли версия ОС?
• Если конфигурация соответствия устройства активна
• Данные о риске IP-адреса
• История местоположения
• Уровни патчей

При обнаружении риска расширенный доступ может:

• Полностью заблокировать вход
• Запросить дополнительную проверку
• Ограничить доступ к определенным ресурсам
• Запустить автоматизированные шаги по исправлению

Вместо того чтобы предположить, что идентичности достаточно, он также проверяет окружающую среду и позу.

Преимущества расширенных политик доступа

Расширенные политики доступа выходят за рамки проверки личности и оценивают состояние устройства, наличие необходимых средств безопасности, сетевое окружение и другие сигналы в момент входа в систему. Это добавляет ещё один уровень безопасности в дополнение к условному доступу.

• Улучшенная защита от скомпрометированных учетных данных: Даже если злоумышленникам удастся получить действительное имя пользователя и пароль, XAP может отказать им в доступе, поскольку их устройство неизвестно, незарегистрировано или на нем отсутствуют элементы управления безопасностью.
• Более глубокое соответствие принципам Zero Trust: Zero Trust делает акцент на постоянной проверке. Extended Access продолжает проверять состояние устройства при каждом входе в систему, а не только один раз при регистрации.
• Снижает риск, связанный с неуправляемыми устройствами: Неконтролируемые конечные точки часто являются источником скрытых угроз. XAP изначально блокирует им доступ к конфиденциальным приложениям.
• Обнаружение нарушений в режиме реального времени: Если устройство внезапно устарело или потеряло агент безопасности после обновления, следующая попытка входа в систему может быть заблокирована до тех пор, пока проблема не будет устранена.
• Адаптивная аутентификация при изменении риска: Расширенный доступ добавляет помех только тогда, когда сигналы указывают на что-то необычное, позволяя большинству пользователей беспрепятственно входить в систему в обычных условиях.
• Упрощенный аудит и отчетность о соответствии: Журналы доступа содержат информацию о причинах разрешения, оспаривания или отклонения сеанса. Это ускоряет и делает прозрачнее проверки регулирующих органов.
• Предотвращение бокового смещения: Расширенный доступ предотвращает внутреннее переключение скомпрометированных конечных точек между системами, что защищает от программ-вымогателей и повышения привилегий.
• Удобная для пользователя позиция безопасности: Вместо строгих правил, общих для всех, XAP реагирует на сигналы риска. Сотрудники не сталкиваются с ненужными препятствиями, когда условия кажутся благоприятными.

Расширенный доступ предоставляет ИТ-отделам более строгий контроль над поведением пользователей, не замедляя повседневную работу. Он помогает незаметно и разумно обеспечить безопасность, особенно в средах с постоянной сменой устройств.

Условный доступ и расширенный доступ: основные различия

Политики условного доступа и расширенного доступа часто упоминаются вместе, но они не взаимозаменяемы. Они решают разные задачи безопасности, и понимание разницы между ними помогает ИТ-администраторам определить, когда пора переходить на более высокий уровень.

Условный доступ в основном рассматривает сигналы идентичности. Он спрашивает что-то вроде:

• Кто пользователь?
• Откуда они заходят?
• К какому приложению они пытаются получить доступ?
• Нужно ли требовать МИД?

Он хорошо справляется с выявлением очевидных рисков, таких как подозрительные местоположения или неизвестные сети.

Расширенные политики доступа действуют более глубоко. Вместо того чтобы останавливаться на базовых условиях, они проверяют работоспособность, состояние и соответствие используемого устройства требованиям. Это важно, поскольку злоумышленники часто используют украденные учётные данные на неуправляемых ноутбуках или старых устройствах, на которых отсутствуют обновления безопасности.

Расширенные политики доступа проверяют такие вещи, как:

• Обновлена ​​ли операционная система?
• Установлен ли агент безопасности?
• Соответствует ли устройство требованиям?
• Что-нибудь было подделано?

Если какой-либо из этих способов не сработает, доступ может быть мгновенно заблокирован, задолго до того, как угроза перерастет в нарушение.

Давайте подробнее сравним оба подхода:

Чтобы представить это в перспективе:

• Условный доступ может разрешить вход из известной корпоративной сети.
• Расширенный доступ все равно может его заблокировать, поскольку на ноутбуке отсутствует антивирусное программное обеспечение или не установлены последние исправления.

Оба варианта полезны, но расширенный доступ закрывает бреши, на которые сегодня активно нацеливаются злоумышленники.

Почему ИТ-администраторам нужно больше, чем просто базовые функции?

Большинство ИТ-отделов уже знакомы с условным доступом. Прежде чем предоставить доступ, он проверяет личность, местоположение, платформу устройства и ряд других параметров. Какое-то время этого было достаточно. Но ландшафт угроз изменился.

Злоумышленники больше не фокусируются на взломе паролей. Они нацелены на устранение пробелов между идентификацией и безопасностью устройств. Фишинговые страницы могут собирать действительные данные для входа, методы воспроизведения токенов позволяют перехватывать сеансы, а атаки с использованием MFA могут заставить пользователей согласиться на вредоносные запросы. С развитием обфускации VPN злоумышленник может даже скрыть своё реальное местоположение и выглядеть надёжным.

Проблема проста. Условный доступ проверяет личность и базовый контекст. Он не всегда подтверждает устройство, с которого выполнен вход. Если учётные данные выглядят корректно, а местоположение разрешённое, доступ часто предоставляется.

Расширенные политики доступа устраняют этот пробел, проверяя более глубокие сигналы и оценивая положение дел в режиме реального времени, благодаря чему ИТ-отделы могут:

• Блокировать устройства, которые не соответствуют требованиям
• Останавливайте неуправляемые или неизвестные конечные точки, прежде чем они достигнут конфиденциальных приложений.
• Найдите отсутствующие исправления, отключенные антивирусы или удаленные инструменты безопасности.
• Уменьшите горизонтальные перемещения, подтверждая доверие к устройству при каждом входе в систему
• Выявить рискованные условия, которые могут остаться незамеченными в рамках базовой политики

Это устраняет распространённую «слепую зону». Одна лишь идентификация не может гарантировать безопасность, особенно когда сотрудники работают из домашних сетей, через личные точки доступа или перемещаются между офисами.

Ещё одно преимущество — гибкость. Расширенные политики доступа корректируются в зависимости от контекста. Если вход кажется обычным, пользователь входит в систему как обычно. Если что-то не так, запускается дополнительная проверка или дополнительный запрос. Всё кажется плавным, когда всё нормально, и становится строгим, когда ситуация меняется.

Этот тип адаптивной аутентификации соответствует современным рабочим моделям. Сотрудники переключаются между ноутбуками, планшетами и телефонами. Они подключаются из отелей, коворкингов или общедоступных сетей Wi-Fi. Окружающая среда постоянно меняется, поэтому политики доступа должны адаптироваться к ним.

Расширенный доступ не усложняет жизнь, а делает аутентификацию более интеллектуальной.

Реализация политик условного доступа и расширенного доступа с помощью Scalefusion OneIdP

Одной лишь проверки личности уже недостаточно. Злоумышленники могут красть пароли, использовать VPN для сокрытия местоположения или пытаться войти с неуправляемых устройств. Поскольку сотрудники перемещаются между сетями и устройствами, для принятия решений о доступе требуется более широкий контекст, чем просто имя пользователя и пароль.

Scalefusion OneIdP Решить эту проблему можно, объединив политики условного доступа и расширенного доступа на одной платформе. Она анализирует входы в режиме реального времени и автоматически применяет нужный уровень проверки.

OneIdP проверяет такие сигналы, как:

• Поза устройства от Veltar
• Версии ОС и патчей
• Репутация интеллектуальной собственности
• Географическое положение
• Необходимые приложения безопасности

Если что-то выглядит рискованным, OneIdP может запросить дополнительную проверку, ограничить доступ или заблокировать вход. Когда всё в порядке, доступ остаётся быстрым и бесперебойным. Управление политиками осуществляется с единой панели управления, что обеспечивает единообразие правил во всей организации.

Такой подход помогает ИТ-отделам выявлять проблемы на ранних этапах и устранять «слепые зоны», которые часто упускаются при базовых проверках личности. Расширенный доступ обеспечивает более глубокий контекст, необходимый современным средам, не замедляя работу сотрудников.

Если вы хотите снизить риск и улучшить контроль доступа, объединение обоих методов будет разумным следующим шагом.