Модель Zero Trust: пять шагов к безопасности
Ландшафт угроз кибербезопасности постоянно меняется, сейчас атаку можно ожидать отовсюду и в любой момент. Значит, нельзя доверять никому. Именно на этом строится концепция Zero Trust (нулевого доверия). Иван Дудоров, ведущий системный инженер Varonis Systems в России, объясняет основные положения такой концепции.
Не доверяй, но проверяй
Новая модель безопасности была создана в 2010 году аналитиками компании Forrester Research (авторство приписывают Джону Киндервагу), которые официально признали недостатки концепции защищенного периметра. Вместо обороны границ, организациям было предложено разрабатывать системы обеспечения информационной безопасности, ориентированные на данные. Основное преимущество Zero Trust заключается в отсутствии необходимости прорабатывать детальную модель угроз. Авторы концепции исходили из возможности возникновения инцидентов где угодно: в корпоративных информационных системах, на рабочих станциях и серверах, а также в активном сетевом оборудовании или вспомогательных умных устройствах.
Нельзя забывать и о внутренних инсайдерах — злонамеренных или не злонамеренных — к тому же отдельную проблему создают пользовательские компьютеры, планшеты и смартфоны, количество которых в корпоративных сетях на фоне пандемии коронавируса растет в геометрической прогрессии. Даже небольшим компаниям проблематично выдать сотрудникам ноутбуки и смартфоны, или перевести всех на службу удаленных рабочих столов (терминальный сервер). В корпорации счет пользователей идет на тысячи, а это уже совсем другие затраты. Пускать неконтролируемое корпоративными айтишниками железо в сеть все же придется, но этот процесс можно постараться максимально обезопасить.
Для реализации нулевого доверия в первую очередь необходимо понять, какие данные являются конфиденциальными, где они хранятся, как перемещаются, а самое главное — насколько эти данные уязвимы. Организации следует готовиться к проникновению хакеров в сеть и вредоносным действиям внутренних злоумышленников, чтобы осложнить им жизнь и свести ущерб к минимуму. Для этого пользователи должны иметь только абсолютно необходимые им для работы привилегии, а сотрудники ИБ — выявлять любую подозрительную активность в инфраструктуре и превентивно на нее реагировать.
От теории к практике
На словах все очевидно, однако в процессе внедрения модели безопасности с нулевым доверием возникают затруднения. Первое из них — отсутствие наглядности. Конфиденциальная информация находится повсюду: в файлах с документами, в электронных письмах, в облачных сервисах и далее по списку. Департаменты ИТ и ИБ зачастую не знают, где что лежит и кто имеет доступ к критически важным данным организации. Добавьте сюда проблему теневого ИТ (Shadow IT), когда сотрудники, к примеру, сами регистрируются в публичных облачных сервисах, и картина станет совсем удручающей.
В первую очередь потребуется собрать информацию об инфраструктуре, определить конфиденциальные данные и ограничить права доступа к ним. Корпоративная сеть должна быть сегментирована, чтобы затруднить боковое перемещение проникших в нее злоумышленников, вредоносных программ и внутренних инсайдеров. Придется обеспечить безопасность стека приложений: к каждому подключению нужно относиться как к потенциальному вектору атаки, пока не доказано обратное. Еще потребуется наладить мониторинг и аудит подключенных к сети устройств, а также управление ими.
Это очень сложные задачи, однако эффективность системы информационной безопасности сводится только к трем аспектам: представлению о том, где хранятся данные; определяющей уровень их защиты аналитике; а также способности превентивно реагировать на угрозы.
Пять шагов к концепции Zero Trust
За 10 лет с момента появления концепция Zero Trust развилась в целостный и неплохо формализованный подход к кибербезопасности. Все его принципы направлены на создание практического способа обнаруживать любые атаки и защищаться от них. Вне зависимости от способа осуществления, поскольку единственный общий для всех нападений в цифровом пространстве признак — направленность на доступ к конфиденциальным данным.
Изобретать свой велосипед не придется: в Forrester Research уже выделили пять шагов, которые организация должна пройти к созданию системы информационной безопасности с нулевым доверием. В первую очередь потребуется внедрить решение для автоматизированного обнаружения и классификации конфиденциальных данных. Как правило, оно же позволяет сделать и следующий шаг — определение потоков информации и настройку системы мониторинга. В итоге организация получит наглядную карту, а также возможность управлять правами доступа и отслеживать нестандартное поведение живущих в сети сущностей, в т.ч. не укладывающееся в готовые модели угроз.
Третий шаг — построение микропериметров. Для этого также существуют комплексные решения, позволяющие провести границы с автоматическим анализом трафика, выявлением в нем аномалий и блокированием потенциальных векторов атаки. Четвертый шаг предполагает внедрение постоянного контроля экосистемы Zero Trust: непрерывное сканирование данных, проверки списков контроля доступа, анализ событий, блокирование подозрительной активности и оповещение департамента ИБ о возможном инциденте. Риски оцениваются в реальном времени, а любые изменения политики доступа к данным сначала проверяются в «песочнице». На последнем этапе необходимо внедрить средства автоматизации управления системой. ИТ-инфраструктура большой компании слишком сложна для ручного администрирования решений в сфере безопасности.
