КиберОценка

PR.AC-7: Аутентификация пользователей и устройств

Пользователи, устройства и другие активы аутентифицируются

Подробное описание

Контроль PR.AC-7 требует строгой аутентификации всех пользователей, устройств и сервисов перед предоставлением доступа к системам и данным. Это включает многофакторную аутентификацию (MFA), протоколы единого входа (SSO), certificate-based authentication для устройств и API. Реализация должна соответствовать NIST SP 800-63 Digital Identity Guidelines, определяющим уровни достоверности аутентификации (AAL1-AAL3). Контроль предотвращает несанкционированный доступ через украденные или скомпрометированные учётные данные.

Практические шаги внедрения

  1. 1

    Внедрить многофакторную аутентификацию (MFA) для всех привилегированных аккаунтов и критичных систем, приоритизируя FIDO2/WebAuthn над SMS-кодами

  2. 2

    Развернуть систему единого входа (SSO) на базе SAML 2.0 или OpenID Connect для централизованного управления аутентификацией корпоративных приложений

  3. 3

    Настроить certificate-based authentication для устройств и machine-to-machine взаимодействий через PKI-инфраструктуру

  4. 4

    Внедрить Conditional Access политики, учитывающие контекст (геолокация, состояние устройства, риск-профиль сессии)

  5. 5

    Применить защиту от brute-force атак: account lockout policies, CAPTCHA, rate limiting на endpoint-ах аутентификации

  6. 6

    Интегрировать проверку скомпрометированных паролей через базы утечек (Have I Been Pwned API, Microsoft Password Protection)

  7. 7

    Внедрить мониторинг аномалий аутентификации: impossible travel, multiple failed attempts, использование legacy-протоколов (Basic Auth, NTLM)

Типичные нарушения

  • Отсутствие MFA для привилегированных аккаунтов, использование только пароля для доступа к критичным системам

  • Использование слабых методов второго фактора: SMS-коды вместо TOTP/FIDO2, легко перехватываемые через SIM swapping

  • Разрешён анонимный или гостевой доступ к внутренним API и сервисам без service-account аутентификации

  • Не настроены account lockout policies, что позволяет проводить credential stuffing и brute-force атаки без ограничений

  • Отсутствует мониторинг использования legacy-протоколов (Basic Auth, NTLM v1), создающих риск pass-the-hash атак

Почему это важно

Скомпрометированные учётные данные остаются главной причиной взломов: согласно Verizon DBIR, 80% инцидентов связаны с украденными или слабыми паролями. MFA снижает риск account takeover на 99.9% даже при утечке паролей. Без строгой аутентификации устройств возможны man-in-the-middle атаки через rogue devices в корпоративной сети.

Проверяемые категории

AuthenticationAPI Security

Связанные контроли

Связанные контроли в других фреймворках

Проверьте соответствие автоматически

Используйте инструменты КиберОценка для автоматической проверки соответствия контролям безопасности и получения детальных отчётов по выявленным уязвимостям.

Запустите бесплатный аудит безопасности