Нульова модель довіри набирає сили з експертами з безпеки

"Ніколи не довіряйте; завжди перевіряйте." Звучить як здоровий глузд, так? Це девіз стратегії під назвою Zero Trust, яка набирає силу у світі кібербезпеки. Він включає відділ інформаційних технологій, що перевіряє всіх користувачів перед наданням пільг доступу. Ефективне управління доступом до облікових записів важливіше, ніж будь-коли, оскільки 58 відсотків малих підприємств середнього бізнесу (SMB), які повідомляють про порушення даних у 2017 році, згідно з повідомленням про розслідування даних про порушення даних Verizon за 2018 рік.

Концепцію Zero Trust створив Джон Кіндерваг, колишній аналітик Forrester Research, а нині польовий CTO в Пало Альто Мережах. "Нам потрібно почати робити реальну стратегію, і саме це дозволяє Zero Trust", - сказав Кіндерваг перед присутніми 30 жовтня на саміті SecurIT Zero Trust у Нью-Йорку. Він додав, що ідея Zero Trust зародилася, коли він сів і по-справжньому розглядав поняття довіри, і як це злісні суб'єкти, які, як правило, виграють від компаній, довіряючи партіям, що їм не слід.

Д-р Чейз Каннінгем став наступником Кіндервагу як головного аналітика компанії «Форрестер» у відстоюванні підходу до довіри нульового доступу. "Zero Trust - це те, що закладено в цих двох словах. Це означає, що нічого не довіряйте, не довіряйте керуванню паролями, не довіряйте облікові дані, не довіряйте користувачам і не довіряйте мережі", - сказав Каннінгем для PCMag в Zero Trust Саміт.

Kindervag використав приклад Секретної служби США, щоб проілюструвати, як організація повинна слідкувати за тим, що їм потрібно захистити та кому потрібен доступ. "Вони постійно контролюють і оновлюють ці елементи управління, щоб вони могли контролювати те, що проходить мікро периметр в будь-який момент часу", - сказав Кіндерваг. "Це метод нульового довіри захисту виконавчої влади. Це найкращий наочний приклад того, що ми намагаємось зробити в Zero Trust".

Уроки нульового довіри, отримані на OPM

Ідеальний приклад того, як Zero Trust може працювати на користь організацій, вийшов з колишнього керівника директора федерального уряду США. На саміті "Нульовий траст" доктор Тоні Скотт, який обіймав посаду директора американського директора з 2015 по 2017 рік, описав серйозне порушення даних, яке сталося в Управлінні управління персоналом США (ОПМ) у 2014 році. Порушення сталося через закордонний шпигунство. в якій було вкрадено інформацію про особисту інформацію та довідку щодо безпеки для 22, 1 мільйона людей, а також дані про відбитки пальців на 5, 6 мільйона осіб. Скотт описав, як для запобігання цьому порушенню потрібно було б не лише поєднання цифрової та фізичної безпеки, а й ефективне застосування політики "Нульовий трест".

Коли люди подадуть заявку на роботу в ОПМ, вони заповнили вичерпну анкету стандартної форми (SF) 86, і дані будуть охоронятися в печері озброєними охоронцями та танками, сказав він. "Якби ви були іноземною особою і хотіли вкрасти цю інформацію, вам доведеться порушити цю печеру в Пенсильванії і пройти повз озброєних охоронців. Тоді вам доведеться виїхати з вантажною вантажем паперу або мати дуже швидку машину Xerox чи щось таке ", - сказав Скотт.

"Було б монументально намагатися втекти з 21 мільйонами записів", - продовжив він. "Але повільно, коли автоматизація ввійшла до процесу ОПМ, ми почали поміщати цей матеріал у комп'ютерні файли на магнітних носіях тощо. Це значно спростило крадіжку". Скотт пояснив, що ОПМ не змогла знайти еквівалентний тип ефективної безпеки, як озброєна охорона, коли агентство стало цифровим. Після нападу Конгрес опублікував звіт, в якому закликав до стратегії "Нульової довіри" для захисту таких видів порушень у майбутньому.

"Для боротьби з передовими стійкими загрозами, що прагнуть компрометувати або використовувати ІТ-мережі федерального уряду, агентства повинні рухатися до" нульової довіри "моделі інформаційної безпеки та ІТ-архітектури", - йдеться в повідомленні конгресу. Колишній репортер США Джейсон Чаффетс (штат Р-Юта), тодішній голова Комітету з нагляду, також написав допис про «Нульовий трест» у той час, опублікований Федеральним радіо новинами. "Управління з управління та бюджету (ОМБ) має розробити керівні принципи для керівних підрозділів та керівників агентств для ефективного впровадження Zero Trust разом із заходами щодо візуалізації та реєстрації всього мережевого трафіку", - написав Шаффетц.

Нульова довіра до реального світу

На прикладі реальної реалізації програми Zero Trust Google реалізував внутрішньо ініціативу під назвою BeyondCorp, призначену для переміщення контролю доступу з мережевого периметра на окремі пристрої та користувачів. Адміністратори можуть використовувати BeyondCorp як спосіб створити детальну політику контролю доступу для Cloud Cloud Platform та Google G Suite на основі IP-адреси, стану безпеки пристрою та ідентичності користувача. Компанія під назвою Luminate забезпечує безпеку Zero Trust як послугу, що базується на BeyondCorp. Luminate Secure Access Cloud аутентифікує користувачів, перевіряє пристрої та пропонує двигун, що забезпечує оцінку ризику, що дозволяє авторизувати доступ до додатків.

"Наша мета - забезпечити безпечний доступ для будь-якого користувача, з будь-якого пристрою, до будь-якого корпоративного ресурсу незалежно від того, де він розміщений, у хмарі чи в приміщеннях, не розгортаючи жодних агентів у кінцевій точці чи будь-яких пристроях, таких як віртуальні приватні мережі (VPN), брандмауери або проксі-сервери на місці призначення, - розповів Майкл Дубінський, керівник відділу управління продуктами компанії Luminate, на PCMag на конференції Hybrid Identity Protection (HIP) 2018 (HIP2018) в Нью-Йорку.

Ключова дисципліна ІТ, в якій Zero Trust набирає швидких зусиль, - це управління ідентичністю. Це ймовірно, оскільки 80 відсотків порушень спричинені неправильним використанням пільгових даних, згідно з повідомленням "Хвиля Forrester: Привілейоване управління ідентичністю, Q3 2016". Системи, які контролюють дозволений доступ до більш деталізованого ступеня, можуть допомогти запобігти цим інцидентам.

Простір управління ідентичністю не є новим, і існує довгий список компаній, які пропонують такі рішення, імовірно, найбільш розповсюдженим є Microsoft та його платформа Active Directory (AD), яка вбудована в все ще популярну операційну систему Windows Server ( ОС). Однак є низка нових гравців, які можуть запропонувати не тільки більше функціональності, ніж AD, але також можуть полегшити управління ідентифікацією простіше у впровадженні та підтримці. До таких компаній належать такі гравці, як Centrify, Idaptive, Okta та SailPoint Technologies.

І хоча ті, хто вже вклав гроші в Windows Server, можуть заважати платити більше за технологію, за яку вони вважають, що вже інвестували, більш глибока і доглянута архітектура управління ідентичністю може принести великі дивіденди за умови порушених порушень та аудиту відповідності. Плюс, вартість не є надмірною, хоча вона може бути значною. Наприклад, Центрифікувати інфраструктурні послуги починається від 22 доларів на місяць за систему.

Як працює Zero Trust

"Одне з речей, що робить" Нульовий трест "- це визначення сегментації мережі", - сказав Кіндерваг. Сегментація є ключовою концепцією як в управлінні мережею, так і в кібербезпеці. Він передбачає розбиття комп'ютерної мережі на підмережі, як логічно, так і фізично, для підвищення продуктивності та безпеки.

Архітектура Zero Trust виходить за межі периметрової моделі, яка охоплює фізичне розташування мережі. Він передбачає "притискання периметра до сутності", - сказав Каннінгем.

"Суб'єктом може бути сервер, користувач, пристрій або точка доступу", - сказав він. "Ви натискаєте елементи управління на мікрорівень, а не думаєте, що ви створили справді високу стіну і що ви в безпеці". Каннінгем описав брандмауер як частину типового периметра. "Це проблема підходу, стратегії та периметра", - зазначив він. "Високі стіни і одна велика річ: вони просто не працюють".

Щоб отримати доступ до мережі, старий аспект безпеки використовував маршрутизатори, за словами Данні Кібеля, нового генерального директора Idaptive, компанії з управління ідентифікацією, яка відходить від Centrify. Перед Zero Trust компанії перевіряли, а потім довіряли. Але за допомогою Zero Trust ви "завжди перевіряєте, ніколи не довіряйте", пояснив Кібель.

Idaptive пропонує платформу доступу наступного покоління, яка включає єдиний вхід (SSO), адаптивну багатофакторну аутентифікацію (MFA) та управління мобільними пристроями (MDM). Такі сервіси, як Idaptive, надають спосіб створити обов'язково детальні елементи контролю доступу. Ви можете надавати або скасовувати, залежно від того, хто потребує доступу до різних програм. "Це надає тій дрібній здатності організації контролювати її доступ", - сказав Кібель. "І це дуже важливо для організацій, які ми бачимо, тому що існує велика кількість розповсюдження з точки зору несанкціонованого доступу".

Кібель визначив підхід Idaptive до Zero Trust трьома кроками: перевірити користувача, перевірити його пристрій і лише після цього дозволити доступ до програм та служб лише для цього користувача. "У нас є кілька векторів для оцінки поведінки користувача: місцеположення, геошвидкісність, час доби, час тижня, який тип програми ви використовуєте, і навіть в деяких випадках, як ви використовуєте цей додаток", - сказав Кібель . Недостатній моніторинг здійснює успішні та невдалі спроби входу, щоб побачити, коли йому потрібно перевзначити автентифікацію або взагалі заблокувати користувача.

30 жовтня Centrify запровадив підхід до кібербезпеки під назвою Zero Trust Privilege, в якому компанії надають найменш необхідний доступ та перевіряють, хто вимагає доступу. Чотири етапи процесу Zero Trust Privilege включає перевірку користувача, перегляд контексту запиту, забезпечення середовища адміністратора та надання найменшої кількості необхідних привілеїв. Підхід Centrify Zero Trust Privilege передбачає поетапний підхід до зниження ризику. Він також приносить перехід від старого привілейованого управління доступом (PAM), що є програмним забезпеченням, яке дозволяє компаніям обмежувати доступ до нових типів середовищ, таких як хмарні платформи зберігання даних, великі проекти даних і навіть розширені спеціальні проекти з розробки додатків, що працюють в Інтернеті бізнес-класу розміщення об'єктів.

Модель Zero Trust передбачає, що хакери вже отримують доступ до мережі, заявив Тім Штейнкофф, президент Centrify. Стратегія боротьби з цією загрозою полягала б у обмеженні бічного руху та застосуванні МЗС скрізь, за словами Стейнкопфа. "Кожен раз, коли хтось намагається отримати доступ до пільгового середовища, вам потрібно негайно мати правильні облікові дані та правильний доступ", - сказав Штейнкофф для PCMag. "Спосіб нав'язувати це - консолідувати ідентичність, і тоді вам потрібен контекст запиту, тобто хто, що, коли, чому і де". Після цього ви надаєте лише необхідну кількість доступу, сказав Штайнкофф.

"Ви приймаєте контекст користувача, і в цьому випадку це може бути лікар, це може бути медсестра, або це може бути якась інша людина, яка намагається отримати доступ до даних", - сказав Дубінський. "Ви берете контекст пристрою, з якого вони працюють, ви берете контекст файлу, до якого вони намагаються отримати доступ, і тоді вам потрібно прийняти рішення про доступ."

МЗС, нульовий траст і кращі практики

Ключовим аспектом моделі Zero Trust є сильна автентифікація, і допуск декількох факторів аутентифікації є частиною цього, зауважила Хед Ковец, генеральний директор та співзасновник Silverfort, який пропонує рішення МЗС. З відсутністю периметру в епоху хмари виникає більша потреба в автентифікації як ніколи. "Можливість робити міністерство зовнішніх справ будь-що є майже основною вимогою Zero Trust, і сьогодні це неможливо, тому що Zero Trust походить від ідеї, де вже немає периметрів", - сказав Коветц для PCMag на HIP2018. "Отже, що-небудь пов'язане з чим-небудь, і в цій реальності у вас немає шлюзу, до якого ви можете застосувати контроль".

Каннінгем Форрестера окреслив стратегію під назвою Zero Trust eXtended (XTX) для відображення рішень щодо придбання технологій на стратегію Zero Trust. "Ми дійсно подивилися на сім елементів контролю, які вам справді потрібно безпечно керувати середовищем", - сказав Каннінгем. Сім стовпів - це автоматизація та оркестрація, видимість та аналітика, навантаження, люди, дані, мережі та пристрої. Щоб бути платформою ZTX, система або технологія мали б три з цих стовпів разом із можливостями інтерфейсу програмування (API). Кілька постачальників, які пропонують рішення безпеки, вписуються в різні стовпи рамки. Centrify пропонує продукти, що стосуються безпеки людей та пристроїв, Palo Alto Networks і Cisco пропонують мережеві рішення, а рішення IBM Security Guardium зосереджуються на захисті даних, зазначив Каннінгем.

Модель Zero Trust також повинна включати зашифровані тунелі, хмару трафіку та шифрування на основі сертифікатів, сказав Штайнкофф. Якщо ви надсилаєте дані з iPad через Інтернет, то ви хочете перевірити, чи отримувач має право на доступ, пояснив він. Реалізація нових технологічних тенденцій, таких як контейнери та DevOps, може допомогти боротися з привілейованими зловживаннями, пов’язаними з обліковими даними, на думку Steinkopf. Він також описав хмарні обчислення як те, що вони передують стратегії нульового довіри.

Любінат Дубінський погоджується. Для SMB, звернення до хмарної компанії, яка надає управління ідентифікацією або МЗС як послугу, вивантажує ці обов'язки з безпеки компаніям, які спеціалізуються в цій галузі. "Ви хочете максимально розвантажитись компаніями та людьми, відповідальними за їх щоденну роботу", - сказав Дубінський.

Потенціал нульової системи довіри

Хоча експерти визнавали, що компанії звертаються до нульової моделі довіри, особливо в управлінні ідентичністю, деякі не бачать необхідності великих змін у інфраструктурі безпеки, щоб прийняти Zero Trust. "Я не впевнений, що це стратегія, яку я хотів би прийняти на будь-якому рівні сьогодні", - сказав Шон Пайк, віце-президент програми з групи продуктів безпеки IDC. "Я не впевнений, що обчислення рентабельності інвестицій існує в часові рамки, які мають сенс. Існує ряд архітектурних змін та кадрових питань, які, на мою думку, роблять витрати непомірними як стратегію".

Однак Пайк бачить потенціал Zero Trust у телекомунікаціях та IDM. "Я думаю, що є компоненти, які сьогодні можуть бути легко прийняті, які не потребують оптових змін архітектури - наприклад, ідентичність", - сказав Пайк. "Незважаючи на те, що вони пов'язані, моє сильне відчуття полягає в тому, що прийняття не обов'язково є стратегічним кроком у напрямку до нульового довіри, а скоріше, щоб вирішити нові способи підключення користувачів та необхідність відійти від систем на основі пароля та покращення управління доступом", пояснив.

Незважаючи на те, що Zero Trust можна трактувати як трохи маркетингову концепцію, яка повторює деякі стандартні принципи кібербезпеки, такі як не довіряти учасникам вашої мережі та потребувати перевірки користувачів, але, на думку експертів, це служить цілі ігрового плану. . "Я великий прихильник Zero Trust - просуватися до тієї єдиної, стратегічної мантри та відстоювати її в рамках організації", - сказав Каннінгем Форрестера.

Ідеї ​​Zero Trust, запроваджені Forrester у 2010 році, не є новими для галузі кібербезпеки, відзначив Джон Пескатор, директор нових тенденцій безпеки Інституту ДАНС, організація, яка займається навчанням та сертифікацією з питань безпеки. "Це майже стандартне визначення кібербезпеки - намагайтеся зробити все безпечним, сегментуйте свою мережу та керуйте привілеями користувачів", - сказав він.

Пескаторе зазначив, що близько 2004 року нині неіснуюча організація безпеки під назвою Форум Єрихона представила подібні ідеї, як і Forrester щодо "безпеки без периметра", і рекомендувала дозволяти лише довірені з'єднання. "Це на зразок того, щоб сказати:" Переїжджайте кудись, де немає злочинців та ідеальної погоди, і вам не потрібен дах чи двері у вашому будинку ", - сказав Пескатор. "Нульова довіра принаймні повертається до здорового сенсу сегментації - ви завжди сегментуєтесь з Інтернету по периметру".

• Поза периметром: як вирішити рівень шару безпеки за межами периметра: як вирішити багатошарову безпеку
• NYC Venture прагне стимулювати роботу, інновації в кібербезпеці NYC Venture прагне стимулювати роботу, інновації в кібербезпеці
• Як підготуватися до наступного порушення безпеки Як підготуватися до наступного порушення безпеки?

В якості альтернативи моделі Zero Trust, Пескадор рекомендував дотримуватися критичного контролю безпеки Центру безпеки Інтернет. Зрештою, Zero Trust, безумовно, може принести користь, незважаючи на ажіотаж. Але, як зазначив Пескатор, незалежно від того, називається це «Нульовий трест» чи щось інше, цей тип стратегії все ще потребує базового контролю.

"Це не змінює того факту, що для захисту бізнесу, ви повинні розробити основні процеси гігієни безпеки та контролю, а також мати кваліфікований персонал для того, щоб вони працювали ефективно та ефективно", - сказав Пескатор. Це більш ніж фінансові інвестиції для більшості організацій, і для успіху однієї компанії потрібно буде зосередитися.