З перших днів існування кібербезпеки ефективний захист ґрунтувався на превентивних заходах, спрямованих на запобігання проникненню загроз у ваші мережі шляхом створення чітко визначених та захищених мережевих кордонів між вами та Інтернетом – по суті, філософія замку та рову.

Проте мережі вже не ті, що були раніше. Вони стали нескінченно складнішими і повинні враховувати такі сучасні тенденції, як Bring Your Own Device (BYOD), Work@Home та Digital Transformation, які стирають кордони між внутрішніми “довіреними” та зовнішніми “недовіреними” суб’єктами і не дуже добре узгоджуються з традиційними уявленнями про суворо визначений мережевий периметр. І хоча такі засоби захисту периметра, як брандмауери, веб-проксі та демілітаризовані зони (DMZ), як і раніше, необхідні і корисні для блокування зовнішніх загроз, вони менш корисні, коли йдеться про захист від загроз, які вже мають доступ всередину мережі, або про захист додатків та пристроїв, що працюють за межами периметра.

Що таке нульова довіра?
Нульова довіра – це архітектурна концепція, яка ґрунтується на передумові, що нікому і нічому не можна довіряти, поки не доведено протилежне. Крім того, нульова довіра переносить парадигму безпеки з безпеки по периметру на наскрізну модель безпеки, де рішення про доступ приймаються на основі кожного з’єднання (або hop-by-hop) на основі багатьох факторів. Таким чином, нульова довіра використовує підхід “краще перестрахуватися, ніж потім шкодувати”, який дозволяє організаціям приймати рішення щодо управління доступом з урахуванням ризику, використовуючи такі фактори ризику, як:
· Хто чи що запитує доступ та рівень впевненості в особистості суб’єкта для цього унікального запиту?
· Чи дозволено доступ до ресурсу (додатку, даних, сервісу тощо) з урахуванням прав доступу користувача та “цінності” чи “чутливості” ресурсу, до якого здійснюється доступ?
· Чи має пристрій, який використовується для запиту, належний рівень безпеки для адекватного захисту будь-яких даних, які передаються через обмін?
· Чи існують інші фактори, які слід враховувати та які змінюють рівень довіри (наприклад, час, розташування користувача, ризик, пов’язаний з мережею користувача, рівень безпеки користувача)?

Будь-яка спроба, яка не відповідає певним критеріям, вважається несанкціонованою, і доступ до ресурсу, до якого намагаються отримати доступ, блокується. Таким чином, нульова довіра визначається політиками доступу для окремих з’єднань та ресурсів, а не сегментів мережі.

Тут важливо зробити паузу та повторити, що нульова довіра не є заміною безпеки периметра. Це стратегія, спрямована на перенесення захисту периметра з однієї точки демаркації між “внутрішньою” та “зовнішньою” частиною підприємства на периметр, пов’язаний з кожним з’єднанням – і в ідеалі з точкою всередині цього з’єднання, яка знаходиться поряд з ресурсом, що захищається. Це гарантує, що всі підключення до ваших ресурсів (будь то у вашому центрі обробки даних, в “хмарі”, на одній з ваших керованих кінцевих точок або від невідомого “зовнішнього” суб’єкта) можуть виявляти та реагувати на загрози, що виникають усередині цих окремих підключень – і це дає ще одну важливу відмінність та додаткову цінність архітектури нульової довіри.
Якщо один із ваших ресурсів буде зламаний, “мікросегментація” з нульовою довірою ускладнить зловмисникам використання довірчих відносин між пристроями та перехід до інших систем.

Якщо вони вкрадуть облікові дані на зламаному ресурсі та використовують їх для доступу до іншого ресурсу, вони будуть обмежені у своїх діях політикою доступу, пов’язаною з вкраденими обліковими даними, для всіх ресурсів, до яких вони намагатимуться отримати доступ. Звичайно, вони все ще можуть використовувати зламаний ресурс як плацдарм для атаки на інший ваш ресурс (наприклад, через непропатчену вразливість або навіть експлойт нульового дня), але ми виразно підвищили коефіцієнт їхньої роботи.

Ключовими можливостями, пов’язаними з архітектурою нульової довіри, є:
· Управління ідентифікацією та доступом (IAM) з урахуванням ризиків;
· Автоматизована категоризація даних та ресурсів на основі “цінності” та “чутливості” окремих ресурсів;
· Динамічний моніторинг загроз, який може постійно оцінювати ризик, пов’язаний з кожним з’єднанням, та реагувати на загрози на транзакційній основі від з’єднання до з’єднання.

Тепер, коли обговорили теорію архітектур нульової довіри, поговоримо про деякі практичні реалії впровадження нульової довіри. Насамперед, це нова парадигма безпеки, і вам необхідно прийняти її як таку та відповідним чином визначити свої очікування щодо того, що потрібно для просування в цьому напрямку – інвестиції, зобов’язання та час.

Хорошою новиною є те, що вам не потрібно впроваджувати систему нульової довіри на всьому підприємстві, щоб змінити ситуацію. Багато організацій починають з розгортання системи нульової довіри відповідно до своїх ініціатив з цифрової трансформації та скорочують можливості нульової довіри в міру перенесення робочих навантажень у хмару. Інші починають з найбільш важливих та чутливих систем, щоб посилити захист систем, що лежать в основі критично важливих бізнес-операцій. Ще один напрямок, з якого слід почати, – це сторонні програмні сервіси, що використовуються вами, оскільки багато з них вже включають функції управління доступом на основі політик і захисту даних, які можуть почати шлях до нульової довіри. Отже, суть в наступному: почніть з малого,

Управління ідентифікацією та доступом з урахуванням ризиків
Як згадувалося вище, нульова довіра намагається обмежити доступ лише авторизованими та затвердженими суб’єктами на основі того, хто або що запитує доступ, контексту їх доступу, “цінності” або “чутливості” ресурсу, до якого здійснюється доступ, та здатності кінцевих систем адекватно захистити будь-які дані , що передаються під час транзакції.

Для того, щоб працювати безпечно і при цьому забезпечувати доступ і функціональність, необхідні для повсякденної роботи, архітектури нульової довіри повинні мати певну здатність розуміти ризик, пов’язаний з різними підключеннями та передачею даних, та відповідним чином регулювати доступ. Для функціонування доступу з урахуванням ризику необхідно розуміти (класифікувати) цінність і чутливість ваших ресурсів, а це може бути досить складно. Ключовим моментом тут є визначення того, який рівень категоризації та контролю доступу має сенс для вашого середовища – наприклад, чи можу я обійтися групуванням систем з високим ризиком разом і контролем доступу на цьому рівні, чи мені потрібна набагато тонша категоризація та контроль доступу на рівні сервісу. ,

Все це вимагає від вас продуманого управління даними, щоб забезпечити повне розуміння категорій даних, що є на вашому підприємстві, і гарантувати, що засоби контролю безпеки та вимоги відповідності будуть дотримані для кожної категорії даних протягом усього їхнього життєвого циклу (можна було б присвятити цілий блог управлінню даними, тому тут торкнемося його лише коротко). Залежно від розміру вашого підприємства для цього можуть знадобитися деякі автоматизовані рішення, які дозволять вам активно керувати, класифікувати, керувати та перевіряти відповідність вашим ресурсам даних.

Поєднуючи все це разом, будемо використовувати простий приклад співробітника, який має доступ до вашої корпоративної мережі. У цьому випадку у вас є досить хороше уявлення про те, хто отримує доступ до вашої інфраструктури і чому їм потрібен доступ для виконання своєї роботи (сфера традиційного IAM). При нульовій довірі ви враховуватимете додаткові фактори ризику при прийнятті рішення про доступ, такі як спосіб доступу до мережі (наприклад, користувач працює вдома через корпоративний ноутбук, зі свого особистого смартфона в громадській мережі Wi-Fi і т.д.), до чого він запитує доступ (наприклад, загальнодоступна інформація, конфіденційні внутрішні документи, інформація, що регулюється нормативними вимогами), і чи є його запит нормальною поведінкою для користувача (наприклад, доступ до конфіденційних даних о 2 годині ночі з іноземної мережевої адреси не виглядає як норма). Залежно від цих факторів ризику ви можете вирішити, що вони повинні мати доступ лише до обмеженого набору даних та послуг і вимагати, щоб вони використовували двофакторну автентифікацію під час кожного підключення.

Для корпоративних пристроїв у вас є додаткова можливість опитати пристрій, щоб переконатися, наприклад, що кінцева система правильно налаштована відповідно до корпоративного стандарту, програмне забезпечення безпеки включено і запущено, а пристрій і програми мають актуальні виправлення безпеки. Іншими словами, чи можу я довіряти цьому пристрою в плані належного захисту даних, що передаються за допомогою цього пристрою.

Все це зрештою кодується в політиках доступу, пов’язаних з ресурсами, які можуть відповісти на основні питання типу “хто, що, коли, де і чому”, пов’язані з ризиком доступу до інформації.

Динамічний моніторинг загроз
Рішення щодо безпеки, засновані на журналах, подіях та оповіщеннях, мають свої обмеження. Для ефективної роботи системи “нульової довіри” виявлення та реагування повинні бути транзакційними за своєю природою, враховувати програми та динамічно впливати на рішення про доступ. Це потребує постійного циклу сканування та оцінки загроз, адаптації та постійної переоцінки довіри в рамках безперервної взаємодії.

Ключовим моментом тут є видимість – це означає, що ваші можливості моніторингу знаходяться у потрібному місці та у потрібний час, щоб відстежувати транзакції з нульовою довірою та виявляти будь-які загрози, що ховаються у комунікаціях. Для цього датчики повинні знаходитися на всіх шляхах, що входять і виходять з вашого підприємства (включаючи хмару) і бути в змозі декодувати весь стек комунікацій аж до рівня даних, щоб виявити просунуті загрози, що ховаються в з’єднаннях з нульовою довірою – і для цього Fidelis пропонує кілька справді інноваційних рішень у цій галузі.

Рішення Fidelis ElevateTM eXtended Detection and Response (XDR) забезпечує розширене виявлення та реагування, яке поєднує захист мережі, кінцевих точок та захист від обману, забезпечуючи цілісну видимість та контроль середовища. Тепер ви знаєте, що потрібно захищати і найбільш ймовірні шляхи витоку даних, командування та контролю, спостереження тощо. Завдяки потужній аналітиці машинного навчання на основі багатих метаданих мережі та кінцевих точок ви можете виявляти, переслідувати та реагувати на сучасні загрози – в режимі реального часу та ретроспективно – на кожному етапі атаки, забезпечуючи безпеку ваших бізнес-операцій та даних.

З питань проведення індивідуальної демонстрації, пілотного тестування рішення Fidelis і організації партнерських тренінгів звертайтеся, будь ласка: info.ua@oberig-it.com, +38 093 801 04 41.

Джерело: https://bit.ly/3IUtZ9l