Зачем вам Zero Trust?
Zero Trust — популярная концепция кибербезопасности. Её разработал бывший аналитик Forrester Джон Киндерваг в 2010 году. Zero Trust пришла на замену классической концепции, где пользователям внутри периметра сети доверяют по умолчанию.
От безопасников требуют создать непробивной периметр в сети, но мы знаем, что это невозможно: всегда есть уязвимости софта, есть новые методы атак, есть и человеческий фактор. Проблема периметра в том, что его непробиваемость — лишь иллюзия. Сотрудник компании проходит по ссылке в письме, фишер получает его данные — и всё, упал ваш непробивной периметр. Деньги компании и ваше время потрачены зря.
Zero Trust — это более глубокое понимание известных всем безопасникам вещей. Любому пользователю нужно проходить идентификацию каждый раз при запросе информации. Все его активности должны непрерывно протоколироваться и контролироваться.
Да, это займёт больше денег, чем покупка межсетевого экрана, но плюсы очевидны. Бывают неожиданные события с серьёзными последствиями, которые называют Чёрный лебедь. Пример — вирус-шифровальщик Petya в 2017 году. Zero Trust уменьшает вероятность и ущерб от таких событий, потому что почти всегда Чёрные лебеди — результат просчётов безопасника и несовершенства системы безопасности. Ещё и сам периметр размыт: есть и сотрудники-удалёнщики, и облачные сервисы, и прочее, поэтому без Zero Trust не обойтись.
Из чего состоит Zero Trust?
Данные
Их крадут злоумышленники. Логично, что это самое важное в концепции. Необходимо уметь анализировать, защищать, классифицировать, отслеживать и поддерживать безопасность своих корпоративных данных.
Сети
Для кражи данных нужно перемещаться по сети, поэтому нужно сделать этот процесс максимально сложным. Сегментируйте, изолируйте и контролируйте ваши сети межсетевыми экраны нового поколения.
Пользователи
Самое слабое звено. Ограничивайте, отслеживайте и навязывайте принципы получения доступа к ресурсам внутри сети и интернете. Настройте VPN, CASB (брокеры безопасного доступа в облако) и другие варианты доступа для защиты ваших сотрудников.
Нагрузка
Термин используют в отделе обслуживания и контроля инфраструктуры для обозначения стека приложений и бэкенд ПО ваших клиентов для взаимодействия с бизнесом. А непропатченные клиентские приложения часто атакуют. Ищите вектор угрозы во всём стеке технологий и защищайте его инструментами, отвечающими концепции “нулевого доверия”.
Устройства
Интернет вещей умножил количество устройств с подключением в несколько раз. Они тоже вектор атаки, поэтому сегментируйте и мониторьте их, как и компьютеры в сети.
Визуализация и аналитика
Хотите Zero Trust? Дайте отделу безопасности инструменты для визуализации состояния всего, что в вашей сети. И не забудьте добавить аналитику поведения пользователей.
Автоматизация и управление
Автоматизация поможет всем вашим системам работать с моделью “нулевого доверия” и отслеживать выполнение политик Zero Trust. Люди банально не уследят за тем объёмом событий для обеспечения Zero Trust.
Принципы Zero Trust
Требуйте безопасный и подтверждённый доступ ко всем ресурсам
Первый базовый принцип концепции Zero Trust – аутентификация и проверка всех прав доступа ко всем ресурсам. Каждый раз, когда пользователь обращается к файловому ресурсу, приложению или облачному хранилищу, необходимо произвести повторную аутентификацию и авторизацию данного пользователя к данному ресурсу.
Вы должны рассматривать каждую попытку доступа к вашей сети как угрозу до тех пор, пока не подтверждено обратное, независимо от вашей модели хостинга и того, откуда происходит подключение.
Используйте модель наименьших привилегий и контролируйте доступ
Модель наименьших привилегий – это парадигма безопасности, которая ограничивает права доступа каждого пользователя до уровня, который необходим ему для выполнения служебных обязанностей. Ограничивая доступ каждому сотруднику, вы препятствуете получению злоумышленником доступа к большому числу дынных через компрометацию одного аккаунта.
Используйте ролевую модель контроля доступа (Role Based Access Control), чтобы достичь наименьших привилегий и предоставить бизнес-владельцам возможность самим управлять разрешениями к их подконтрольным данным. Проводите аттестацию прав и членства в группах на регулярной основе.
Отслеживайте всё
Принципы «нулевого доверия» подразумевают контроль и верификацию всего подряд. Логирование каждого сетевого вызова, доступа к файлу или почтового сообщения для анализа на вредоносную активность – это не то, что в состоянии выполнить один человек или целая команда. Поэтому используйте аналитику безопасности данных поверх собранных логов, чтобы легко обнаружить угрозы в вашей сети, такие как брут-форс атаки, вредоносные программы или тайные эксфильтрации данных.
Как внедрить Zero Trust?
- Обновите каждый элемент стратегии ИБ на соответствие принципам Zero Trust: проверьте все части стратегии на соответствие принципам “нулевого доверия” и скорректируйте их.
- Проанализируйте используемый стек технологий и проверьте, нужны ли обновления или замены для Zero Trust: уточните у производителей технологий об их соответствии принципам “нулевого доверия”. Обратитесь к новым вендорам, чтобы найти возможные решения для стратегии Zero Trust.
- Внедряйте Zero Trust осознанно: ставьте перед собой измеримые задачи и достижимые цели. Убедитесь, что новые поставщики соответствуют выбранной стратегии.
Не забывайте о доверии
Немного доверия должно остаться. Нужно доверять своим пользователям, если они прошли нужный уровень авторизации и средства мониторинга не находят подозрительную активность. Не превращайтесь в Большого Брата — и всё у вас будет хорошо.