Согласно недавнему отчету Network Access Control in 2009 and Beyond («Управление сетевым доступом в 2009-м и последующих годах»), опубликованному Gartner, в 80% случаев NAC используются для того, чтобы ограничить доступ пользователям, имеющим право подключаться к сети, но не являющимся постоянными сотрудниками, которым гарантирован полный доступ.
Довольно редко управление сетевым доступом применяется для проверки соответствия оконечных точек базовому профилю (собственно, для этого концепцию NAC и придумывали), и только в 15% случаев на основе оценки состояния оконечной точки ограничивается доступ в сеть.
«Первоначальная причина создания NAC, то есть предотвращение подключения к сети инфицированного ПК и распространения червя, во многом утратила свою актуальность, ведь о Sasser (2003) и Blaster (2004) мало кто уже помнит», — говорится в отчете, подготовленном аналитиками Gartner Лоуренсом Орансом и Джоном Пескаторе.
У предприятий есть две основные причины покупать решения категории NAC, как считают эксперты Gartner. Во-первых, поддерживать работу в сети с учетом идентификационной информации, устанавливая соответствие IP-адресов пользователей, и индивидуальных регистрационных записей для лучшего контроля их деятельности. Вторая причина – подавлять действия червей и других вредоносных программ.
Впрочем, приобретенную для решения одной из этих задач подсистему NAC со временем начинают использовать шире, утверждают эксперты Gartner. Предприятиям стоит четко себе представлять, зачем они покупают NAC, но при этом представлять и другие их возможности и стремиться использовать их шире.
Ставшая известной пять лет назад концепция NAC была задумана как средство для инспекции мобильных компьютеров и настольных систем в момент подключения их к сети и предоставления механизма блокировки доступа в тех случаях, если они не отвечают политикам NAC. Эти политики предусматривают, в частности, наличие обновлений операционных систем и программного обеспечения поддержки безопасности, а также корректные настройки межсетевых экранов.
Но блокировка доступа на основе такой оценки, считают в Gartner, плохая идея. «Этот подход редко используется — в общем случае он приносит больше вреда, чем пользы», — отмечается в исследовании. Намного полезнее исправлять те недостатки, которые помогает обнаружить оценка NAC, и это делается чаще.
Такие недостатки показывают, что у устройств есть уязвимые места, а не то, что они представляют опасность, поэтому нет никакой необходимости изолировать их. Автоматическое исправление при подключении к сети – более распространенный и менее разрушительный подход в данном случае, уверены аналитики Gartner.
Как утверждается в исследовании, мобильные компьютеры и настольные системы, которые явно подверглись постороннему воздействию и опасны, должны быть изолированы, но большинство продуктов NAC не настолько развиты, чтобы выполнять такие задачи.
Изучив характер фактического использования предприятиями средств категории NAC, в Gartner предложили пересмотреть его определение. Теперь NAC предлагает такую формулировку: «Процесс, который оценивает состояние безопасности конечной точки в момент подключения ее к сети, ведет мониторинг состояния безопасности конечных точек, которые уже подключены к сети, и реализует политики доступа в сеть на основе состояния конечной точки, среды угрозы и идентификационных данных пользователя».
Аналитики Gartner подчеркивают, что потенциальные пользователи NAC могут быть введены в заблуждение маркетинговой шумихой, создаваемой многими производителями NAC и другими производителями, продукты которых предназначены для периферии сети, но при этом подаются как средства NAC.