Model s nulovou dôverou získava paru s odborníkmi na bezpečnosť

"Nikdy neverím; vždy si to over." Znie to ako zdravý rozum, však? To je heslo, ktoré stojí za stratégiou s názvom Zero Trust, ktorá získava trakciu vo svete kybernetickej bezpečnosti. Zahŕňa oddelenie IT overujúce všetkých používateľov pred udelením prístupových oprávnení. Podľa správy Verizon z roku 2018 o vyšetrovaní porušenia údajov z roku 2018 je 58% malých a stredných podnikov (SMB), ktoré v roku 2017 hlásili porušenia údajov, dôležitejšie ako kedykoľvek predtým účinným riadením prístupu k účtom.

Koncept Zero Trust založil John Kindervag, bývalý analytik spoločnosti Forrester Research a terénny technický riaditeľ spoločnosti Palo Alto Networks. „Musíme začať robiť skutočnú stratégiu, a to umožňuje spoločnosť Zero Trust, “ povedal Kindervag publiku 30. októbra na samite SecurIT Zero Trust v New Yorku. Dodal, že myšlienka spoločnosti Zero Trust vznikla, keď sa posadil a skutočne zvážil pojem dôvery a ako sú to škodliví aktéri, ktorí všeobecne profitujú zo spoločností dôverujúcich stranám, že by nemali.

Chase Cunningham sa stal nástupcom Kindervagu ako hlavný analytik vo Forresteri, ktorý presadzoval prístup Zero Trust Access. „Zero Trust je to, čo je obsiahnuté v týchto dvoch slovách, čo znamená nedôverovať ničomu, nedôverovať správe hesla, nedôverovať povereniam, nedôverovať používateľom a nedôverovať sieti, “ povedal Cunningham spoločnosti PCMag na Zero Trust. Summit.

Kindervag použil príklad americkej tajnej služby na ilustráciu toho, ako by organizácia mala sledovať, čo potrebujú chrániť a kto potrebuje prístup. „Neustále monitorujú a aktualizujú tieto ovládacie prvky, aby mohli v akomkoľvek čase ovládať to, čo prechádza mikrorimérom, “ uviedol Kindervag. „Toto je metóda výkonnej ochrany spoločnosti Zero Trust. Je to najlepší vizuálny príklad toho, čo sa snažíme v službe Zero Trust robiť.“

Poučenie z nulovej dôveryhodnosti získané na OPM

Dokonalý príklad toho, ako môže spoločnosť Zero Trust pracovať v prospech organizácií, prišiel od bývalého riaditeľa federálnej vlády USA. Na samite Zero Trust, Dr. Tony Scott, ktorý zastával funkciu úradu USA CIO v rokoch 2015 až 2017, opísal hlavné porušenie údajov, ku ktorému došlo v roku 2014 na Úrade pre správu pracovníkov USA (OPM). K tomuto porušeniu došlo v dôsledku zahraničnej špionáže. v ktorom boli ukradnuté osobné informácie a informácie o bezpečnostnom odbavení pre 22, 1 milióna ľudí spolu s údajmi o odtlačkoch prstov o 5, 6 milióna jednotlivcov. Scott opísal, ako na zabránenie tohto porušenia by bolo potrebné nielen spojenie digitálnej a fyzickej bezpečnosti, ale aj účinné uplatňovanie politiky Zero Trust.

Keď ľudia požiadajú o prácu v OPM, vyplnili vyčerpávajúci dotazník pre štandardný formulár (SF) 86 a údaje budú v jaskyni strážené ozbrojenými strážcami a tankami. „Keby si bol cudzí subjekt a chcel by si ukradnúť tieto informácie, musel by si túto jaskyňu prelomiť v Pensylvánii a dostať sa cez ozbrojené stráže. Potom by si musel odísť s nákladom papiera alebo mať veľmi rýchly stroj Xerox alebo niečo také, “Povedal Scott.

„Bolo by monumentálne pokúsiť sa uniknúť s 21 miliónmi záznamov, “ pokračoval. „Ale pomaly, keď automatizácia vstúpila do procesu OPM, začali sme tieto veci ukladať do počítačových súborov na magnetické médiá a tak ďalej. To bolo oveľa ľahšie ukradnúť.“ Scott vysvetlil, že OPM nezistil rovnocenný druh efektívnej bezpečnosti ako ozbrojení strážcovia, keď sa agentúra stala digitálnou. Po útoku Kongres vydal správu požadujúcu stratégiu nulovej dôvery na ochranu týchto typov porušení v budúcnosti.

„S cieľom bojovať proti pokročilým pretrvávajúcim hrozbám, ktoré sa snažia o kompromitáciu alebo využívanie IT sietí federálnej vlády, by sa agentúry mali posunúť smerom k modelu informačnej bezpečnosti a architektúry IT„ Zero Trust “, uviedla kongresová správa. Bývalý americký zástupca Jason Chaffetz (R-Utah), vtedajší predseda Výboru pre dohľad, napísal príspevok o spoločnosti Zero Trust v tom čase, ktorý pôvodne uverejnil Federal News Radio. „Úrad pre správu a rozpočet (OMB) by mal vypracovať usmernenia pre výkonné oddelenia a vedúcich agentúr, aby efektívne implementovali Zero Trust, spolu s opatreniami na vizualizáciu a zaznamenávanie celej sieťovej prevádzky, “ napísal Chaffetz.

Nulová dôvera v reálnom svete

V príklade implementácie Zero Trust v reálnom svete spoločnosť Google implementovala interne iniciatívu s názvom BeyondCorp, ktorej cieľom je presunúť riadenie prístupu z obvodu siete na jednotlivé zariadenia a používateľov. Správcovia môžu program BeyondCorp používať ako spôsob vytvárania podrobných pravidiel riadenia prístupu pre platformu Google Cloud Platform a Google G Suite na základe adresy IP, stavu zabezpečenia zariadenia a identity používateľa. Spoločnosť s názvom Luminate poskytuje bezpečnosť Zero Trust ako službu založenú na BeyondCorp. Cloud Luminate Secure Access Cloud overuje používateľov, overuje ich platnosť a ponúka motor, ktorý poskytuje skóre rizika, ktoré oprávňuje prístup k aplikácii.

„Naším cieľom je bezpečne poskytnúť prístup každému používateľovi, z ľubovoľného zariadenia, ku všetkým podnikovým zdrojom bez ohľadu na to, kde sú hostené, v cloude alebo v priestoroch bez nasadenia akýchkoľvek agentov v koncovom bode alebo akýchkoľvek zariadení, ako sú virtuálne súkromné ​​siete (VPN), brány firewall alebo servery proxy na cieľovom mieste, “uviedol Michael Dubinsky, vedúci produktového manažmentu spoločnosti Luminate, na konferencii PCMag na konferencii Hybrid Identity Protection (HIP) 2018 (HIP2018) v NYC.

Kľúčovou disciplínou v oblasti IT, v ktorej spoločnosť Zero Trust rýchlo získava pozornosť, je správa identity. Je to pravdepodobné, pretože podľa správy „Forrester Wave: Privileged Identity Management, Q3 2016“ je 80 percent porušení spôsobených zneužitím privilegovaných poverení. Systémy, ktoré kontrolujú autorizovaný prístup do väčšej miery, môžu týmto incidentom zabrániť.

Priestor na správu identít nie je nový a existuje dlhý zoznam spoločností, ktoré takéto riešenia ponúkajú, s najväčšou pravdepodobnosťou najrozšírenejšou je spoločnosť Microsoft a jej platforma Active Directory (AD), ktorá je súčasťou stále populárneho operačného systému Windows Server (OS). Existuje však množstvo novších prehrávačov, ktoré môžu ponúknuť nielen viac funkcií ako AD, ale môžu tiež uľahčiť implementáciu a údržbu správy identity. Medzi takéto spoločnosti patria hráči ako Centrify, Idaptive, Okta a SailPoint Technologies.

A zatiaľ čo tí, ktorí už investovali do systému Windows Server, by mohli odmietnuť zaplatiť viac za technológiu, v ktorej sa domnievajú, do ktorej už investovali, hlbšia a lepšie udržiavaná architektúra správy identít môže priniesť veľké dividendy v narušených auditoch a auditoch súladu. Navyše cena nie je neúnosná, hoci môže byť významná. Napríklad Centrify Infrastructure Services začína na 22 dolárov mesačne na systém.

Ako funguje Zero Trust

„Jednou z vecí, ktoré spoločnosť Zero Trust robí, je definovanie segmentácie siete, “ povedal Kindervag. Segmentácia je kľúčovým pojmom v správe siete a kybernetickej bezpečnosti. Zahŕňa rozdelenie počítačovej siete do podsietí, či už logicky alebo fyzicky, aby sa zlepšil výkon a bezpečnosť.

Architektúra Zero Trust presahuje model obvodu, ktorý zahŕňa fyzické umiestnenie siete. Zahŕňa to „tlačenie obvodu dolu k entite“, povedal Cunningham.

„Subjektom môže byť server, užívateľ, zariadenie alebo prístupový bod, “ uviedol. „Namiesto toho, aby ste si mysleli, že ste postavili skutočne vysokú stenu a že ste v bezpečí, tlačíte ovládacie prvky nadol na úroveň mikro.“ Cunningham opísal firewall ako súčasť typického obvodu. „Je to problém prístupu a stratégie a obvodu, “ poznamenal. "Vysoké steny a jedna veľká vec: jednoducho nefungujú."

Podľa Dannyho Kibela, nového generálneho riaditeľa spoločnosti Idaptive, spoločnosti zaoberajúcej sa správou identity, ktorá sa oddeľuje od Centrify, používala starý smer zabezpečenia prístup k sieti pomocou smerovačov. Pred Zero Trust by spoločnosti overili a potom dôverovali. Ale s nulovou dôverou „vždy overujete, nikdy neveríte, “ vysvetlil Kibel.

Idaptive ponúka platformu Next-Gen Access, ktorá zahŕňa jednotné prihlásenie (SSO), adaptívne multifaktorové overovanie (MFA) a správu mobilných zariadení (MDM). Služby ako Idaptive poskytujú spôsob, ako vytvoriť nevyhnutne podrobné kontroly prístupu. Poskytovanie alebo zrušenie poskytovania môžete vykonať na základe toho, kto potrebuje prístup k rôznym aplikáciám. „Dáva tejto jemnozrnnej schopnosti organizácii kontrolovať jej prístup, “ povedal Kibel. „A to je veľmi dôležité pre organizácie, ktoré vidíme, pretože z hľadiska neoprávneného prístupu je veľa rozšírení.“

Spoločnosť Kibel definovala prístup spoločnosti Idaptive k spoločnosti Zero Trust pomocou troch krokov: overenie používateľa, overenie jeho zariadenia a až potom povolenie prístupu k aplikáciám a službám iba pre tohto používateľa. „Máme niekoľko vektorov na hodnotenie správania používateľa: umiestnenie, geo-rýchlosť, čas dňa, čas v týždni, aký typ aplikácie, ktorú používate, a dokonca v niektorých prípadoch, ako ju používate, “ povedal Kibel., Idaptive monitoruje úspešné a neúspešné pokusy o prihlásenie, aby zistil, kedy je potrebné znovu overiť autentizáciu alebo zablokovať používateľa úplne.

30. októbra spoločnosť Centrify zaviedla prístup k kybernetickej bezpečnosti s názvom Zero Trust Privilege, v ktorom spoločnosti udeľujú najmenej privilegovaný prístup a overujú, kto o prístup žiada. Štyri kroky procesu Zero Trust Privilege zahŕňajú overenie používateľa, preskúmanie kontextu žiadosti, zabezpečenie administrátorského prostredia a udelenie najmenšieho potrebného privilégia. Prístup Centrify Zero Trust Privilege zahŕňa fázový prístup k znižovaniu rizika. Prináša tiež prechod od staršej správy privilegovaných prístupov (PAM), čo je softvér, ktorý umožňuje spoločnostiam obmedziť prístup k novším typom prostredí, ako sú platformy na ukladanie údajov v cloude, veľké dátové projekty, a dokonca aj pokročilé projekty vývoja vlastných aplikácií bežiace na podnikovom webe. hostingové zariadenia.

Model Zero Trust predpokladá, že hackeri už pristupujú k sieti, uviedol Tim Steinkopf, prezident Centrify. Stratégia na boj proti tejto hrozbe by podľa Steinkopfa znamenala obmedziť bočné pohyby a uplatňovať makrofinančnú pomoc všade. „Kedykoľvek sa niekto pokúša získať prístup k privilegovanému prostrediu, musíte okamžite mať správne poverenia a správny prístup, “ povedal Steinkopf pre PCMag. „Spôsob, ako vynútiť, je konsolidácia totožnosti, a potom potrebujete kontext žiadosti, čo znamená kto, čo, kedy, prečo a kde.“ Potom udelíte iba potrebné množstvo prístupu, povedal Steinkopf.

"Beriete kontext používateľa, v takom prípade to môže byť lekár, môže to byť zdravotná sestra alebo to môže byť iná osoba, ktorá sa pokúša získať prístup k údajom, " uviedol Dubinsky. „Beriete kontext zariadenia, z ktorého pracujú, beriete kontext súboru, ku ktorému sa snažia získať prístup, a na základe toho musíte urobiť rozhodnutie o prístupe.“

MFA, nulová dôvera a osvedčené postupy

Kľúčovým aspektom modelu Zero Trust je silná autentifikácia a súčasťou tohto je aj umožnenie viacerých faktorov autentifikácie, poznamenal Hed Kovetz, generálny riaditeľ a spoluzakladateľ spoločnosti Silverfort, ktorý ponúka riešenia MFA. S nedostatkom perimetrov v ére cloudu je potreba autentifikácie väčšia ako kedykoľvek predtým. „Schopnosť robiť MFA čohokoľvek je takmer základnou požiadavkou Zero Trust a dnes je nemožné to urobiť, pretože Zero Trust vychádza z myšlienky, že už neexistujú žiadne perimetre, “ povedal Kovetz pre PCMag na HIP2018. „Čokoľvek sa teda s ničím spája a v tejto realite nemáte bránu, na ktorú môžete uplatniť kontrolu.“

Spoločnosť Cunningham spoločnosti Forrester načrtla stratégiu s názvom Zero Trust eXtended (XTX) na mapovanie rozhodnutí o nákupe technológie na stratégiu Zero Trust. „Naozaj sme sa pozreli na sedem prvkov kontroly, ktoré musíte skutočne bezpečne spravovať prostredie, “ povedal Cunningham. Sedem pilierov je automatizácia a orchestrácia, viditeľnosť a analytika, pracovné zaťaženie, ľudia, údaje, siete a zariadenia. Aby bola platforma ZTX, systém alebo technológia by mala tri z týchto pilierov spolu s funkciami programovacieho rozhrania aplikácií (API). Niekoľko dodávateľov, ktorí ponúkajú bezpečnostné riešenia, zapadá do rôznych pilierov rámca. Spoločnosť Centrify ponúka produkty, ktoré sa zameriavajú na bezpečnosť ľudí a zariadení, Palo Alto Networks a Cisco ponúkajú sieťové riešenia a riešenia IBM Security Guardium sa zameriavajú na ochranu údajov, poznamenal Cunningham.

Model spoločnosti Zero Trust by mal zahŕňať aj šifrované tunely, dopravný cloud a šifrovanie založené na certifikátoch, uviedol Steinkopf. Ak posielate údaje z iPadu cez internet, potom si chcete overiť, či má príjemca právo na prístup, vysvetlil. Podľa Steinkopf môže implementácia nových technologických trendov, ako sú kontajnery a DevOps, pomôcť v boji proti privilegovanému zneužívaniu poverených osôb. Popísal tiež cloud computing ako v popredí stratégie Zero Trust.

Luminate's Dubinsky súhlasí. Pre malé a stredné podniky sa obrátenie na cloudovú spoločnosť, ktorá poskytuje správu identity alebo MFA ako službu, zbavuje týchto bezpečnostných povinností spoločností, ktoré sa špecializujú na túto oblasť. "Chcete čo najviac presunúť spoločnosti a ľudí, ktorí sú zodpovední za svoju každodennú prácu, " uviedol Dubinsky.

Potenciál nulovej dôveryhodnosti

Hoci odborníci uznali, že spoločnosti sa obracajú na model Zero Trust, najmä v oblasti správy identity, niektorí nevidia potrebu veľkých zmien v bezpečnostnej infraštruktúre, aby mohli prijať Zero Trust. „Nie som si istý, či je to stratégia, ktorú by som dnes chcel prijať na akejkoľvek úrovni, “ povedal Sean Pike, viceprezident programu pre bezpečnostné produkty spoločnosti IDC. „Nie som si istý, že počet návratnosti investícií existuje v časovom rámci, ktorý dáva zmysel. Existuje množstvo architektonických zmien a personálnych problémov, ktoré podľa môjho názoru znižujú náklady ako stratégiu.“

Pike však vidí potenciál Zero Trust v telekomunikáciách a IDM. „Myslím si, že existujú komponenty, ktoré možno dnes ľahko prijať a ktoré nevyžadujú zmeny veľkoobchodnej architektúry - napríklad identitu, “ uviedol Pike. „Aj keď sú spojené, môj silný pocit je, že adopcia nie je nevyhnutne strategickým krokom smerom k nulovej dôvere, ale skôr krokom zameraným na nové spôsoby, akými sa používatelia pripájajú, a na potrebu vzdialiť sa od systémov založených na hesle a zlepšiť správu prístupu, “ vysvetlené.

Hoci Zero Trust možno interpretovať ako kúsok marketingového konceptu, ktorý opakuje niektoré zo štandardných princípov kybernetickej bezpečnosti, ako napríklad nedôverovanie vstupujúcich do vašej siete a potreba overiť používateľov, podľa odborníkov slúži ako herný plán., „Som veľkým zástancom spoločnosti Zero Trust, aby som sa posunul smerom k tomuto jedinečnému strategickému druhu mantry a presadzoval to v rámci organizácie, “ povedal Cunningham z Forresteru.

Myšlienky Zero Trust, ktoré spoločnosť Forrester predstavila v roku 2010, nie sú pre odvetvie kybernetickej bezpečnosti nové, poznamenal John Pescatore, riaditeľ Emerging Security Trends v inštitúte SANS Institute, ktorý poskytuje bezpečnostné školenie a certifikáciu. „To je do značnej miery štandardná definícia kybernetickej bezpečnosti - pokúste sa všetko zabezpečiť, rozdeliť svoju sieť a spravovať oprávnenia používateľov, “ uviedol.

Pescatore poznamenal, že okolo roku 2004 už zaniknutá bezpečnostná organizácia s názvom Jericho Forum zaviedla podobné myšlienky ako Forrester v súvislosti s „bezpečnosťou bez hraníc“ a odporučila povoliť iba dôveryhodné spojenia. „Je to niečo ako povedať:„ Choďte niekde, kde nie sú zločinci a perfektné počasie, a nepotrebujete na svojom dome strechu ani dvere, “povedal Pescatore. „Zero Trust sa prinajmenšom prinieslo späť v bežnom zmysle segmentácie - vždy segmentujete z internetu perimetrom.“

• Za hranicami: Ako riešiť vrstvenú bezpečnosť Za hranicami: Ako riešiť vrstvenú bezpečnosť
• NYC Venture sa snaží o urýchlenie pracovných miest, inovácie v kybernetickej bezpečnosti NYC Venture sa snaží o urýchlenie pracovných miest, inovácie v kybernetickej bezpečnosti
• Ako sa pripraviť na ďalšie porušenie zabezpečenia Ako sa pripraviť na ďalšie porušenie zabezpečenia

Ako alternatívu k modelu Zero Trust odporúčal Pescatore postupovať podľa kritických bezpečnostných kontrol Centra pre internetovú bezpečnosť. Na konci môže Zero Trust určite priniesť výhody aj napriek humbuku. Ako však poznamenal Pescatore, či už sa to nazýva Zero Trust alebo niečo iné, tento typ stratégie si stále vyžaduje základné kontroly.

„Nezmení to skutočnosť, že na ochranu podnikania musíte vyvinúť základné postupy a kontroly v oblasti bezpečnostnej hygieny, ako aj kvalifikovaných pracovníkov, aby ich udržali v prevádzke efektívne a efektívne, “ uviedol Pescatore. Pre väčšinu organizácií je to viac ako finančná investícia a je to jedna spoločnosť, ktorá sa bude musieť zamerať na úspech.