Идентификация в информационной безопасности

В классических моделях безопасного доступа выделяют несколько последовательных этапов: идентификация, аутентификация, авторизация, учет и контроль. Идентификация стоит в этом ряду первой не случайно. Пока система не поняла, с каким субъектом имеет дело, любые разговоры о проверке подлинности и правах будут формальными. Поэтому в документации по ИБ обычно отдельно описывается, что именно идентификация представляет собой и какие сущности через нее проходят.

Если говорить кратко, идентификация понятие, которое отвечает за установление субъекта. Система принимает входящие данные — логин, ID, сертификат, токен — и сопоставляет их записи в своем хранилище. На выходе получается устойчивый идентификатор, по которому дальше будут вестись все операции и учитываться события. Идентификация термин технический: она не проверяет, верны ли предъявленные данные, и не решает, что субъекту разрешено. Эти задачи уже относятся к аутентификации и авторизации.

В контурах ИБ идентификации подлежат не только пользователи. Субъектами выступают также автоматические сервисы, прикладные системы, устройства, компоненты инфраструктуры. Для каждого типа субъектов может использоваться свой способ идентификации. Пользователь входит по логину в каталоге, сервис представляет ключ или сертификат, сетевое устройство идентифицируется по криптографическим параметрам или уникальным аппаратным данным. Задача службы ИБ — описать это единым языком и увязать с моделями угроз.

Практическая ценность становится заметной на уровне журналов и расследований. Когда все действия записываются с привязкой к устойчивой идентификации, аналитикам проще восстанавливать цепочку событий: кто и откуда подключался, через какие сервисы переходил, какие операции выполнял. Если же идентификации реализованы фрагментарно или по-разному в каждой системе, журналы превращаются в набор разрозненных логов, требующих ручной интерпретации.

Идентификацию удобно рассматривать и через призму минимизации прав. Чтобы выдать субъекту только необходимые полномочия, нужно сначала четко понимать, кто этот субъект, к какой группе относится, какие задачи выполняет. Без этого ограничивать что-либо трудно — права либо раздаются «с запасом», либо блокируются сценарии, нужные пользователям. Корректная идентификация позволяет выстраивать более точные профили доступа и постепенно уходить от практики универсальных учетных записей.

Отдельный пласт работы — формализация идентификации в документах. В стандартах и внутренних положениях не всегда достаточно общих фраз. Желательно описать, какие именно идентификации используются, какие источники данных считаются доверенными, как обеспечивается уникальность и стабильность идентификаторов, как отражаются изменения в структуре организации. Это помогает избежать ситуаций, когда каждый проект трактует термины по-своему и реализует собственные схемы.

В итоге идентификация выполняет в информационной безопасности сразу несколько функций. Она задает базовую структуру субъектов, служит опорой для моделей доступа, формирует основу для журналирования и расследований, помогает согласовать работу ИТ и ИБ. При этом с технической стороны она остается сравнительно простым шагом — сопоставлением входящих данных устойчивому идентификатору. Основные сложности возникают именно в области организации процессов и документации, а не в программных механизмах

В процессе создания статьи частично задействованы материалы с сайта blog.infra-tech.ru — понятие идентификация в информационной безопасности

Дата публикации: 27 июня 2022 года