Число кіберзагроз у світі зростає до небачених раніше масштабів. Поява нових онлайн-сервісів та різноманітних цифрових продуктів, нові способи здійснення платежів та нові напрямки використання технологій, віддалена робота під час пандемії – все це стає додатковим стимулом для хакерів, що розробляють все досконаліші шляхи зламу інформаційних систем організацій. У цих умовах бізнесу потрібно не просто реагувати на існуючі кіберзагрози, а й діяти на випередження. Одним із таких кроків може стати впровадження концепції нульової довіри (Zero Trust). Як виникла концепція Zero Trust Традиційний підхід у налаштуванні мережевої безпеки виходить з принципу «довіряй, але перевіряй», що передбачає довіру до користувачів та учасників всередині певного периметру. Такий підхід стає все більш небезпечним для організацій, адже не враховує можливість зламу легітимних користувачів та використання їх акаунтів для атаки. Ризики ще більше посилилися в період пандемії при масовому підключенні співробітників до робочого середовища з власних пристроїв. На противагу описаному вище, основний принцип моделі Zero Trust можна сформулювати так: «мінімум довіри до всіх, максимум перевірок». Іншими словами, використання концепції Zero Trust передбачає, що у побудові будь-яких взаємодій з іншими користувачами, цифровими платформами чи програмними продуктами використовується принцип нульової довіри або повної недовіри до всіх та всього. Концепція Zero Trust передбачає, що користувачі повинні підтверджувати свої дані кожного разу, коли вони звертаються до певних ресурсів чи даних. Такий підхід відображає базовий принцип моделі Zero Trust – за замовчуванням будь-який об’єкт, трафік чи дані сприймаються як ворожі і, відповідно, блокуються до того часу, поки не буде доведено, що вони є безпечними. Що входить до захисної моделі Zero Trust 1. Дані та мережі Перехід на Zero Trust передбачає новий підхід до роботи з даними, налагодження процесів відстеження їхнього обміну, посилення вимог щодо збереження сенсативної інформації, а також максимальний захист всіх ресурсів мережі. Головна мета – максимально ускладнити переміщення потенційних зловмисників всередині корпоративної мереж та отримання ними доступу до важливою інформації. 2. Користувачі Найслабший елемент з точки зору безпеки, звичайний користувач, буде вимушений працювати в умовах обмежених прав доступу до ресурсів компанії. Якщо певний доступ йому знадобиться, він отримає його не автоматично, а після певних процедурних кроків, що аргументують цю необхідність. 3. Пристрої Одна з причин появи Zero Trust – це велика кількість пристроїв, які отримали доступ до корпоративної мережі. Кожен новий пристрій – це потенційна проблема. Тому Zero Trust передбачає моніторинг та сегментування всіх пристроїв, пов’язаних з корпоративною мережею, в тому числі їх постійній аналіз та перевірка. 4. Візуалізація та аналіз мережі Модель Zero Trust передбачає використання відділом кібербезпеки інструментів, які допоможуть візуалізувати стан мережі та проаналізувати поведінку користувачів та події, в тому числі, інциденти всередині корпоративної мережі. В першу чергу ми говоримо про Security Operations Center (SOC), який має моніторити будь-яку підозрілу поведінку користувача, аплікації, сервісу, тощо.
Модель Zero Trust базується на трьох основних принципах
1. Постійна перевірка Це означає аутентифікація всіх користувачів, які хочуть отримати доступ до мережевих ресурсів чи даних. Будь-яка спроба отримання доступу сприймається як потенційна атака, у відповідь на яку вимагається повторна аутентифікація, навіть якщо користувач перед цим вже підтверджував свою особу.
2. Керування доступом на основі ролей (Role Based Access Control, RBAC) Цей підхід базується на обмеженні доступу та виділенні користувачеві лише тих прав, які потрібні для успішного виконання роботи. Не більше. Це допоможе знизити шанси на проникнення зловмисників у випадку успішного зламу когось із співробітників компанії. Важливо не забувати перевіряти виділені права на регулярній основі.
3. Використання аналітики даних та контексту Модель Zero Trust передбачає аналіз всіх дій та входів користувачів у мережу. Перевіряються не лише логін і пароль (чи інші фактори аутентифікації), а цілий ряд додаткових параметрів, в тому числі поведінкові чинники (шаблони поведінки), додаткові параметри середовища (геолокація, версія операційної системи, дані пристрою) та багато іншої інформації. Їх сукупний аналіз та виявлення невідповідностей (аномалій) можливі виключно із використанням спеціальних інструментів. Звичайна людина, навіть дуже досвідчена, може не побачити проблеми (анономалії), особливо якщо йдеться про великі розгалужені мережі. Саме тому обійтися без спеціальних інструментів, які аналізують всі інциденти безпеки, бачать закономірності та знаходять вразливості, в концепції zero trust неможливо. І знову це про сучасний SOC.
Як запровадити модель Zero Trust
Будуючи систему нульової довіри, варто спочатку собі дати відповідь на основні питання – які цифрові активи потрібно захищати і від чого. Щоб це зробити, потрібно пройти наступні етапи.
1. Визначення найбільш сенситивних даних До переліку найбільш цінних для компанії активів можна віднести фінансову інформацію, комерційну таємницю, медичні дані чи клієнтські бази, програмне забезпечення для управління всіма цими активами, тощо. В будь-якому разі, для кожної організації це буде свій унікальний перелік активів і, зазвичай, він вже має бути описаний, якщо організація впровадила ISO27k або інший фреймворк управління інформаційною безпекою чи налаштувала Систему Управління Інформаційною Безпекою (СУІБ).
2. Побудова потоків транзакцій Для того, щоб зрозуміти технічні ризики, необхідно моніторити трафік та перевіряти доступ користувачів та зовнішніх суб’єктів до внутрішніх ресурів компанії. При цьому можна побудувати так звані карти доступу і побачити, які ресурси потрібні користувачу чи групі юзерів, а які варто від них закрити. Корисним також буде проходження базових тестів на проникнення (Penetration Test або скорочено Pentest), або ж замовлення повноцінного Cybersecurity Audit. Дізнатися більше про важливість цих кроків можна за посиланням.
3. Створення мережі Zero Trust Після перших двох етапів стає зрозуміло, якою повинна бути архітектура Zero Trust, які брандмауери потрібні, коли й де варто запровадити додаткові кроки контролю доступу. Важливо пам’ятати, що захист цифрових ресурсів організації, це постійний процес, а не разова акція. Він вимагає постійної уваги та ресурсних витрат.
4. Моніторинг і обслуговування мережі. Цей крок передбачає постійний моніторинг мережевого середовища та регулярні оцінки стану кібербезпеки компанії, а також створення політик та налагодження бізнес-процесів (знову ж таки в рамках проєкту СУІБ). Компанії можуть це робити як за допомогою власного SOC (Security Operations Center, Центр управління безпекою) або ж із залученням зовнішнього підрядника. Що робить SOC? Допомагає компаніям і організаціям покращувати можливості моніторингу своєї ІТ-інфраструктури для виявлення прихованих аномалій поведінки, раннього виявлення загроз та реагування на інциденти. Більше про функціонал нашого Центру можна дізнатися за посиланням.
Переваги та можливі виклики впровадження Zero Trust
Хоча необхідність переходу до Zero Trust сумнівів не викликає, багато організацій зустрічаються із складнощами у впровадженні цієї концепції. Це підтверджує звіт Global State of Zero Trust Report, який представила компанія Fortinet. Дослідження показало, що хоча більшість організацій розуміють важливість запровадження моделі Zero Trust, більше половини не можуть реалізувати концепцію у своїх компаніях.
То ж запровадження моделі Zero Trust є складним процесом, який може зайняти тривалий час. І компанії повинні бути до цього готовими.
Іще одним викликом є постійне керування та покращення Zero Trust – ця модель не може будуватися за принципом «зробив та забув».
Zero Trust вимагає затрат на обладнання та програмне забезпечення для моніторингу та аналізу мережі, а це може викликати негативну реакцію керівництва, яке не буде в захваті від необхідності витрачати гроші на примарні захисні інструменти. Особливо, якщо до компанія не зустрічалась із серйозними кіберзагрозами.
Попри всі складнощі, 72% компаній у всьому світі запровадили модель Zero Trust або передувають у процесі планування чи впровадження. Адже цей підхід є найбільш сучасним і надійним у вибудовуванні власної системи кібербезпеки.
Запровадження моделі Zero Trust дозволить компанії провести повний аналіз та інвентаризацію мережевої інфраструктури та зрозуміти, які ресурси, дані, додатки підключені та як вони використовуються. Мати цю інформацію важливо не лише для організації безпеки, але й для стратегічного планування розвитку компанії.