С первых дней существования кибербезопасности эффективная защита основывалась на превентивных мерах, направленных на предотвращение проникновения угроз в ваши сети путем создания четко определенных и защищенных сетевых границ между вами и Интернетом – по сути, философия замка и рва.
Однако сети уже не те, что были раньше. Они стали бесконечно сложнее и должны учитывать такие современные тенденции, как Bring Your Own Device (BYOD), Work @ Home и Digital Transformation, которые стирают границы между внутренними «доверенными» и внешними «недоверенными» субъектами и не очень хорошо согласуются с традиционными представлениями о строго определенном сетевом периметре. И хотя такие средства защиты периметра, как брандмауэры, веб-прокси и демилитаризованные зоны (DMZ) по-прежнему необходимы и полезны для блокирования внешних угроз, они менее полезны, когда речь идет о защите от угроз, которые уже имеют доступ внутрь сети, или о защите приложений и устройств, работающих за пределами периметра.
Что такое нулевое доверие?
Нулевое доверие – это архитектурная концепция, которая основывается на предпосылке, что никому и ничему нельзя доверять, пока не доказано обратное. Кроме того, нулевое доверие переносит парадигму безопасности с безопасности по периметру на сквозную модель безопасности, где решения о доступе принимаются на основе каждого соединения (или hop-by-hop) на основе множества факторов. Таким образом, нулевое доверие использует подход «лучше перестраховаться, чем потом сожалеть», который позволяет организациям принимать решения по управлению доступом с учетом риска, используя такие факторы риска, как:
• Кто или что запрашивает доступ и уровень уверенности в личности субъекта для этого уникального запроса?
• Разрешен ли доступ к ресурсу (приложению, данным, сервису и т.д.) с учетом прав доступа пользователя и «ценности» или «чувствительности» ресурса, к которому осуществляется доступ?
• Имеет ли устройство, используемое для запроса, надлежащий уровень безопасности для адекватной защиты любых данных, передаваемых через обмен?
• Существуют ли другие факторы, которые следует учитывать и которые изменяют уровень доверия (например, время, местоположение пользователя, риск, связанный с сетью пользователя, уровень безопасности пользователя)?
Любая попытка, не соответствующая определенным критериям, считается несанкционированной, и доступ к ресурсу, к которому пытаются получить доступ, блокируется. Таким образом, нулевое доверие определяется политиками доступа для отдельных соединений и ресурсов, а не сегментов сети.
Здесь важно сделать паузу и повторить, что нулевое доверие не является заменой безопасности периметра. Это стратегия, направленная на перенос защиты периметра с одной точки демаркации между «внутренней» и «внешней» частью предприятия на периметр, связанный с каждым соединением – и в идеале с точкой внутри этого соединения, которая находится рядом с защищаемым ресурсом. Это гарантирует, что все подключения к вашим ресурсам (будь то в вашем центре обработки данных, в «облаке», на одной из ваших управляемых конечных точек или от неизвестного «внешнего» субъекта) могут обнаруживать и реагировать на угрозы, возникающие внутри этих отдельных подключений – и это дает еще одно важное отличие и дополнительную ценность архитектуры нулевого доверия.
Если один из ваших ресурсов будет взломан, «микросегментация» с нулевым доверием затруднит злоумышленникам использование доверительных отношений между устройствами и переход к другим системам. Если они украдут учетные данные на взломанном ресурсе и используют их для доступа к другому ресурсу, они будут ограничены в своих действиях политикой доступа, связанной с украденными учетными данными, для всех ресурсов, к которым они попытаются получить доступ. Конечно, они все еще могут использовать взломанный ресурс как плацдарм для атаки на другой ваш ресурс (например, через непропатченную уязвимость или даже эксплойт нулевого дня), но мы определенно повысили коэффициент их работы.
Ключевыми возможностями, связанными с архитектурой нулевого доверия, являются:
• Управление идентификацией и доступом (IAM) с учетом рисков;
• Автоматизированная категоризация данных и ресурсов на основе «ценности» и «чувствительности» отдельных ресурсов;
• Динамический мониторинг угроз, который может постоянно оценивать риск, связанный с каждым соединением, и реагировать на угрозы на транзакционной основе, от соединения к соединению.
Теперь, когда обсудили теорию архитектур нулевого доверия, давайте поговорим о некоторых практических реалиях внедрения нулевого доверия. Прежде всего, это новая парадигма безопасности, и вам необходимо принять ее как таковую и соответствующим образом определить свои ожидания относительно того, что потребуется для продвижения в этом направлении – инвестиции, обязательства и время.
Хорошей новостью является то, что вам не нужно внедрять систему нулевого доверия на всем предприятии, чтобы изменить ситуацию. Многие организации начинают с развертывания системы нулевого доверия в соответствии со своими инициативами по цифровой трансформации и сокращают возможности нулевого доверия по мере переноса рабочих нагрузок в облако. Другие начинают с наиболее важных и чувствительных систем, чтобы усилить защиту систем, которые лежат в основе критически важных бизнес-операций. Еще одно направление, с которого следует начать, – это используемые вами сторонние программные сервисы, поскольку многие из них уже включают в себя функции управления доступом на основе политик и защиты данных, которые могут начать путь к нулевому доверию. Итак, суть в следующем: начните с малого, проведите несколько пилотных проектов и постепенно переходите к более широкому развертыванию на предприятии.
Управление идентификацией и доступом с учетом рисков
Как упоминалось выше, нулевое доверие пытается ограничить доступ только авторизованными и утвержденными субъектами на основе того, кто или что запрашивает доступ, контекста их доступа, «ценности» или «чувствительности» ресурса, к которому осуществляется доступ, и способности конечных систем адекватно защитить любые данные, передаваемые в ходе транзакции.
Для того чтобы работать безопасно и при этом обеспечивать доступ и функциональность, необходимые для повседневной работы, архитектуры нулевого доверия должны обладать определенной способностью понимать риск, связанный с различными подключениями и передачей данных, и соответствующим образом регулировать доступ. Для функционирования доступа с учетом риска необходимо понимать (классифицировать) «ценность» и «чувствительность» ваших ресурсов, а это может быть довольно сложно. Ключевым моментом здесь является определение того, какой уровень категоризации и контроля доступа имеет смысл для вашей среды – например, могу ли я обойтись группировкой систем с высоким риском вместе и контролем доступа на этом уровне или мне нужна гораздо более тонкая категоризация и контроль доступа на уровне сервиса, приложения или отдельных объектов данных.
Все это требует от вас продуманного управления данными, чтобы обеспечить полное понимание категорий данных, имеющихся на вашем предприятии, и гарантировать, что средства контроля безопасности и требования соответствия будут соблюдены для каждой категории данных на протяжении всего их жизненного цикла (можно было бы посвятить целый блог управлению данными, поэтому здесь коснемся его лишь вкратце). В зависимости от размера вашего предприятия для этого могут потребоваться некоторые автоматизированные решения, которые позволят вам активно управлять, классифицировать, управлять и проверять соответствие вашим ресурсам данных.
Объединяя все это вместе, будем использовать простой пример сотрудника, имеющего доступ к вашей корпоративной сети. В этом случае у вас есть достаточно хорошее представление о том, кто получает доступ к вашей инфраструктуре и к чему им требуется доступ для выполнения своей работы (сфера традиционного IAM). При нулевом доверии вы будете учитывать дополнительные факторы риска при принятии решения о доступе, такие как способ доступа к сети (например, пользователь работает дома через корпоративный ноутбук, со своего личного смартфона в общественной сети Wi-Fi и т.д.), к чему он запрашивает доступ (например, общедоступная информация, конфиденциальные внутренние документы, информация, регулируемая нормативными требованиями), и является ли его запрос нормальным поведением для пользователя (например, доступ к конфиденциальным данным в 2 часа ночи с иностранного сетевого адреса звучит не кажется нормой). В зависимости от этих факторов риска вы можете решить, что они должны иметь доступ только к ограниченному набору данных и услуг и требовать, чтобы они использовали двухфакторную аутентификацию при каждом подключении.
Для корпоративно управляемых устройств у вас есть дополнительная возможность опросить устройство, чтобы убедиться, например, что конечная система правильно настроена в соответствии с корпоративным стандартом, программное обеспечение безопасности включено и запущено, а устройство и приложения имеют актуальные исправления безопасности. Другими словами, могу ли я доверять этому устройству в плане надлежащей защиты данных, передаваемых с помощью этого устройства.
Все это в конечном итоге кодируется в политиках доступа, связанных с ресурсами, которые могут ответить на основные вопросы типа «кто, что, когда, где и почему», связанные с риском доступа к информации.
Динамический мониторинг угроз
Решения по обеспечению безопасности, основанные на журналах, событиях и оповещениях, имеют свои ограничения. Для эффективной работы системы «нулевого доверия» обнаружение и реагирование должны быть транзакционными по своей природе, учитывать приложения и динамически влиять на решение о доступе. Это требует постоянного цикла сканирования и оценки угроз, адаптации и постоянной переоценки доверия в рамках непрерывного взаимодействия.
Ключевым моментом здесь является видимость – это означает, что ваши возможности мониторинга находятся в нужном месте и в нужное время, чтобы отслеживать транзакции с нулевым доверием и обнаруживать любые угрозы, скрывающиеся в коммуникациях. Для этого датчики должны находиться на пути всех входящих и выходящих из вашего предприятия путей (включая облако) и быть в состоянии декодировать весь стек коммуникаций вплоть до уровня данных, чтобы обнаружить продвинутые угрозы, скрывающиеся в соединениях с нулевым доверием – и для этого Fidelis предлагает несколько действительно инновационных решений в этой области.
Решение Fidelis ElevateTM eXtended Detection and Response (XDR) обеспечивает расширенное обнаружение и реагирование, которое объединяет защиту сети, конечных точек и защиту от обмана, обеспечивая целостную видимость и контроль среды. Теперь вы знаете, что нужно защищать и наиболее вероятные пути утечки данных, командования и контроля, наблюдения и т.д. Благодаря мощной аналитике машинного обучения на основе богатых метаданных сети и конечных точек вы можете обнаруживать, преследовать и реагировать на современные угрозы – в режиме реального времени и ретроспективно – на каждом этапе атаки, обеспечивая безопасность ваших бизнес-операций и данных.
