Мир сталкивается с растущим числом киберугроз. С появлением новых онлайн-сервисов и цифровых продуктов, новых способов оплаты и использования новых технологий эпоха удаленной работы стала главной мишенью для хакеров. Они постоянно находят новые способы проникновения в информационные системы организаций.
В этих условиях бизнесу нужно не просто реагировать на существующие киберугрозы, но и действовать на опережение. Одним из таких шагов может стать внедрение концепции нулевого доверия (Zero Trust).
Как возникла концепция Zero Trust
Традиционный подход в настройке сетевой безопасности исходит из принципа «доверяй, но проверяй», что предполагает доверие к пользователям и участникам внутри определенного периметра.
Такой подход становится все более опасным для организаций, поскольку не учитывает возможность взлома легитимных пользователей и использования их аккаунтов для атаки. Риски еще больше усилились в период пандемии при массовом подключении сотрудников к рабочей среде из собственных устройств.
В противоположность описанному выше, основной принцип модели Zero Trust можно сформулировать так: «минимум доверия ко всем, максимум проверок». Другими словами, использование концепции Zero Trust предполагает, что в построении любых взаимодействий с другими пользователями, цифровыми платформами или программными продуктами используется принцип нулевого доверия или полного недоверия ко всем и всему.
Концепция Zero Trust предполагает, что пользователи должны подтверждать свои данные всякий раз, когда они обращаются к определенным ресурсам или данным.
Такой подход отражает базовый принцип модели Zero Trust – по умолчанию любой объект, трафик или данные воспринимаются как враждебные и, соответственно, блокируются до тех пор, пока не будет доказано, что они безопасны.
Входящая в защитную модель Zero Trust
1. Данные и сети
Переход на Zero Trust предполагает новый подход к работе с данными, налаживание процессов отслеживания их обмена, ужесточение требований по сохранению сенсативной информации, а также максимальную защиту всех ресурсов сети.
Главная цель – максимально усложнить перемещение потенциальных злоумышленников внутри корпоративной сети и получение ими доступа к важной информации.
2. Пользователи
Самый слабый элемент с точки зрения безопасности обычный пользователь будет вынужден работать в условиях ограниченных прав доступа к ресурсам компании. Если определенный доступ ему понадобится, он получит его не автоматически, а после процедурных шагов, аргументирующих эту необходимость.
3. Устройства
Одна из причин появления Zero Trust – это множество устройств, получивших доступ к корпоративной сети. Каждое новое устройство – это потенциальная проблема. Поэтому Zero Trust предусматривает мониторинг и сегментирование всех устройств, связанных с корпоративной сетью, включая их постоянный анализ и проверку.
4. Визуализация и анализ сети
Модель Zero Trust предусматривает использование отдела кибербезопасности инструментов, которые помогут визуализировать состояние сети и проанализировать поведение пользователей и события, в том числе инциденты внутри корпоративной сети. В первую очередь мы говорим о Security Operations Center (SOC), который должен мониторить любое подозрительное поведение пользователя, аппликации, сервиса и т.д.
Модель Zero Trust базируется на трех основных принципах.
1. Постоянная проверка
Это означает аутентификацию всех пользователей, желающих получить доступ к сетевым ресурсам или данным. Любая попытка получения доступа воспринимается как потенциальная атака, в ответ на которую требуется повторная аутентификация, даже если пользователь уже подтверждал свое лицо.
2. Управление доступом на основе ролей (Role Based Access Control, RBAC)
Этот подход основан на ограничении доступа и выделении пользователю только тех прав, которые необходимы для успешного выполнения работы. Не более. Это поможет снизить шансы на проникновение злоумышленников в случае успешного взлома одного из сотрудников компании. Важно не забывать проверять выделенные права на регулярной основе.
3. Использование аналитики данных и контекста
Модель Zero Trust подразумевает анализ всех действий и входов пользователей в сеть. Проверяются не только логин и пароль (или другие факторы аутентификации), а целый ряд дополнительных параметров, включая поведенческие факторы (шаблоны поведения), дополнительные параметры среды (геолокация, версия операционной системы, данные устройства) и многое другое. Их совокупный анализ и выявление несоответствий (аномалий) возможны исключительно с использованием специальных инструментов. Обычный человек, даже очень опытный, может не увидеть проблемы (аномалии), особенно если речь идет о больших разветвленных сетях. Именно поэтому обойтись без специальных инструментов, которые анализируют все инциденты безопасности, видят закономерности и обнаруживают уязвимость, в концепции zero trust невозможно. И снова это о современном SOC.
Как ввести модель Zero Trust
Строя систему нулевого доверия, стоит сначала себе ответить на основные вопросы – какие цифровые активы нужно защищать и от чего. Чтобы это сделать нужно пройти следующие этапы.
1. Определение наиболее сенситивных данных
К списку наиболее ценных для компании активов можно отнести финансовую информацию, коммерческую тайну, медицинские данные или клиентские базы, программное обеспечение управления всеми этими активами и т.д. В любом случае, для каждой организации это будет свой уникальный перечень активов и обычно он уже должен быть описан, если организация внедрила ISO27k или другой фреймворк управления информационной безопасностью или настроила Систему Управления Информационной Безопасностью (СУИБ).
2. Построение потоков транзакций
Для того чтобы понять технические риски, необходимо мониторить трафик и проверять доступ пользователей и внешних субъектов к внутренним ресурсам компании. При этом можно построить так называемые карты доступа и увидеть, какие ресурсы нужны пользователю или группе пользователей, а какие следует от них закрыть. Полезным также будет прохождение базовых тестов на проникновение (Penetration Test или сокращен Pentest), или заказ полноценного Cybersecurity Audit. Узнать больше о важности этих шагов можно по ссылке.
3. Создание сети Zero Trust
После первых двух этапов становится понятно, какой должна быть архитектура Zero Trust, какие брандмауэры нужны, когда и где следует ввести дополнительные шаги по контролю доступа. Важно помнить, что защита цифровых ресурсов организации – это постоянный процесс, а не разовая акция. Он просит неизменного внимания и ресурсных издержек.
4. Мониторинг и сервис сети.
Этот шаг предполагает постоянный мониторинг сетевой среды и регулярные оценки состояния кибербезопасности компании, а также создание политик и налаживание бизнес-процессов (опять же в рамках проекта СУИБ). Компании могут это делать как с помощью собственного SOC (Security Operations Center, Центр управления безопасностью) или с привлечением внешнего подрядчика.
Что делает SOC? Помогает компаниям и организациям улучшать мониторинг своей ИТ-инфраструктуры для выявления скрытых аномалий поведения, раннего выявления угроз и реагирования на инциденты. Больше о функционале нашего Центра можно узнать по ссылке.
Преимущества и возможные вызовы по внедрению Zero Trust
Хотя необходимость перехода к Zero Trust не вызывает сомнений, многие организации встречаются со сложностями во внедрении этой концепции. Это подтверждает отчет Global State of Zero Trust Report, представленный компанией Fortinet. Исследование показало, что хотя большинство организаций понимают важность внедрения модели Zero Trust, более половины не могут реализовать концепцию в своих компаниях.
Поэтому введение модели Zero Trust является сложным процессом, который может занять длительное время. И компании должны быть к этому готовы.
Еще одним вызовом является постоянное управление и улучшение Zero Trust – эта модель не может строиться по принципу «сделал и забыл».
Zero Trust требует затрат на оборудование и программное обеспечение для мониторинга и анализа сети, что может вызвать негативную реакцию руководства, которое не будет в восторге от необходимости тратить деньги на призрачные защитные инструменты. Особенно, если компания не встречалась с серьезными киберугрозами.
Несмотря на все сложности, 72% компаний во всем мире ввели модель Zero Trust или предшествуют в процессе планирования или внедрения. Ведь этот подход наиболее современный и надежный в выстраивании собственной системы кибербезопасности.
Внедрение модели Zero Trust позволит компании провести полный анализ и инвентаризацию сетевой инфраструктуры и понять, какие ресурсы, данные, приложения подключены и как они используются. Иметь эту информацию важно не только для обеспечения безопасности, но и для стратегического планирования развития компании.