Zero trust model dobiva paru sa sigurnosnim stručnjacima

"Nikada ne vjerujte; uvijek provjerite." Zvuči kao zdrav razum, zar ne? To je moto iza strategije pod nazivom Zero Trust, koja postaje sve jača u svijetu kibernetičke sigurnosti. Uključuje informatički odjel koji provjerava sve korisnike prije dodjele privilegija pristupa. Učinkovito upravljanje pristupom računima važnije je nego ikad, jer 58 posto malih i srednjih poduzeća (SMB-ova) prijavljuju kršenja podataka u 2017. godini, navodi se u izvješću o istrazi istrage kršenja podataka Verizon 2018. godine.

Koncept Zero Trust osnovao je John Kindervag, bivši analitičar iz Forrester Research, a sada terenski CTO u Palo Alto Networks. "Moramo započeti raditi pravu strategiju i to je ono što Zero Trust omogućuje", rekao je Kindervag publici 30. listopada na samitu SecurIT Zero Trust u New Yorku. Dodao je da je ideja o Zero Trustu nastala kad je sjeo i stvarno razmotrio koncept povjerenja, te kako su zlonamjerni akteri koji uglavnom imaju koristi od tvrtki koje vjeruju strankama da ne bi trebale.

Dr. Chase Cunningham postao je Kindervagov nasljednik kao glavni analitičar u Forresteru u zagovaranju pristupa Zero Trust Access. "Zero Trust je ono što je sadržano u ove dvije riječi, što znači da ne vjerujete ničemu, ne vjerujte upravljanju lozinkom, ne vjerujte vjerodajnicama, ne vjerujte korisnicima i ne vjerujte mreži", rekao je Cunningham za PCMag u Zero Trustu Summit.

Kindervag je na primjeru američke tajne službe prikazao kako organizacija treba pratiti što trebaju zaštititi i kome treba pristup. "Oni kontinuirano prate i ažuriraju te kontrole kako bi mogli kontrolirati ono što prolazi mikro perimetrom u bilo kojem trenutku", rekao je Kindervag. "Ovo je Zero Trust metoda izvršne zaštite. To je najbolji vizualni primjer onoga što pokušavamo učiniti u Zero Trustu."

Lekcije iz nulte povjerenja naučene na OPM-u

Savršen primjer kako Zero Trust može raditi u korist organizacija došao je iz bivšeg CIO-a američke savezne vlade. Na sastanku na vrhu Zero Trust, dr. Tony Scott, koji je obnašao dužnost američkog CIO-a od 2015. do 2017. godine, opisao je veliko kršenje podataka do kojeg je došlo u Uredu američkog ureda za upravljanje osobljem (OPM) 2014. Do kršenja je došlo uslijed strane špijunaže. u kojem su ukradeni podaci o osobnim podacima i sigurnosnom odobrenju za 22, 1 milijuna ljudi zajedno s podacima o otiscima prstiju za 5, 6 milijuna pojedinaca. Scott je opisao kako bi se spriječilo samo kršenje digitalne i fizičke sigurnosti, ali i učinkovita primjena politike Zero Trust.

Kad bi se ljudi prijavili za posao u OPM-u, ispunili su iscrpni upitnik Standardni obrazac (SF) 86, a podaci će biti čuvani u špilji naoružanim čuvarima i tenkovima, rekao je. "Da ste strani entitet i htjeli ste ukrasti te podatke, morali biste probiti ovu špilju u Pensilvaniji i proći pored naoružanih stražara. Tada biste morali otići s tovarima papira ili imati vrlo brz Xerox stroj ili nešto slično, "Rekao je Scott.

"Bilo bi monumentalno pokušati pobjeći s 21 milijuna ploča", nastavio je. "Ali polako, kako je automatizacija ušla u proces upravljanja OPM-om, počeli smo stavljati ove stvari u računalne datoteke na magnetskim medijima i tako dalje. To nam je omogućilo puno krađu." Scott je objasnio da OPM nije uspio pronaći ekvivalentnu vrstu učinkovite sigurnosti kao naoružani čuvari kad je agencija krenula digitalno. Nakon napada, Kongres je objavio izvještaj u kojem poziva na strategiju nulte pouzdanosti za zaštitu ovih vrsta kršenja u budućnosti.

"Za borbu protiv naprednih upornih prijetnji koje žele kompromitirati ili iskoristiti IT mreže savezne vlade, agencije bi trebale krenuti prema 'nultom povjerenju' modelu informacijske sigurnosti i IT arhitekture", navodi se u izvještaju kongresa. Bivši američki veleposlanik Jason Chaffetz (R-Utah), tada predsjednik nadzornog odbora, također je napisao post o Zero Trustu u to vrijeme, koji je izvorno objavio Federal News Radio. "Ured za upravljanje i proračun (OMB) trebao bi razviti smjernice za izvršne odjele i šefove agencija za učinkovito provođenje Zero Trust-a, zajedno s mjerama za vizualizaciju i evidentiranje cjelokupnog mrežnog prometa", napisao je Chaffetz.

Nulti povjerenje u stvarni svijet

U stvarnom primjeru implementacije Zero Trust-a, Google je interno implementirao inicijativu pod nazivom BeyondCorp namijenjenu premještanju kontrola pristupa s mrežnog perimetra na pojedine uređaje i korisnike. Administratori mogu koristiti BeyondCorp kao način za izradu detaljnih pravila o kontroli pristupa za Google Cloud Platform i Google G Suite na temelju IP adrese, statusa zaštite uređaja i identiteta korisnika. Tvrtka pod nazivom Luminate pruža sigurnost Zero Trust kao uslugu temeljenu na BeyondCorp. Luminate Secure Access Cloud ovjerava korisnike, potvrđuje uređaje i nudi motor koji pruža ocjenu rizika koja odobrava pristup aplikaciji.

"Naš je cilj osigurati pristup bilo kojem korisniku, s bilo kojeg uređaja, bilo kojem korporativnom resursu bez obzira na to gdje se nalazi, u oblaku ili u prostorijama, bez raspoređivanja bilo kojeg agenta u krajnjoj točki ili bilo kojeg uređaja poput virtualne privatne mreže (VPN-a), vatrozidovi ili proxyji na odredišnom mjestu ", rekao je Michael Dubinsky, šef upravljanja proizvodima u Luminateu za PCMag na konferenciji Hybrid Identity Protection (HIP) 2018 (HIP2018) u NYC-u.

Ključna IT disciplina u kojoj Zero Trust brzo dobiva poteškoće je upravljanje identitetom. To je vjerojatno zato što je 80 posto kršenja uzrokovano zlouporabom povlaštenih vjerodajnica, navodi se u izvješću "Forrester val: Privilegirano upravljanje identitetom, treće tromjesečje 2016". Sustavi koji kontroliraju autorizirani pristup preciznijeg stupnja mogu pomoći u sprečavanju tih incidenata.

Prostor za upravljanje identitetom nije nov, a postoji dugačak popis tvrtki koje nude takva rješenja, a vjerojatno je najzastupljeniji Microsoft i njegova Active Directory (AD) platforma, ugrađena u još uvijek popularni operativni sustav Windows Server (OS). No, postoji niz novijih igrača koji mogu ponuditi ne samo više funkcionalnosti nego AD, ali mogu i upravljanje identitetom olakšati implementaciju i održavanje. Takve tvrtke uključuju igrače poput Centrify, Idaptive, Okta i SailPoint Technologies.

I dok oni koji su već uložili u Windows Server mogu platiti više za plaćanje tehnologije za koju smatraju da su već uložili, dublja i bolje održavana arhitektura upravljanja identitetom može donijeti velike dividende u osujećenim kršenjima i revizijama usklađenosti. Osim toga, trošak nije preporodan, iako može biti značajan. Na primjer, Centrify Infrastructure Services počinje s 22 USD mjesečno po sustavu.

Kako djeluje nula povjerenja

"Jedna od stvari koje Zero Trust čini je definiranje segmentacije mreže", rekao je Kindervag. Segmentacija je ključni pojam i za upravljanje mrežom i za cyber-sigurnost. To uključuje dijeljenje računalne mreže na podmreže, bilo fizički ili fizički, radi poboljšanja performansi i sigurnosti.

Zero Trust arhitektura nadilazi model perimetra koji obuhvaća fizičku lokaciju mreže. To uključuje "guranje perimetra prema entitetu", rekao je Cunningham.

"Entitet može biti poslužitelj, korisnik, uređaj ili pristupna točka", rekao je. "Gurnite kontrole dolje na mikrorazinu, umjesto da mislite da ste izgradili stvarno visok zid i da ste sigurni." Cunningham je vatrozid opisao kao dio tipičnog perimetra. "To je problem pristupa i strategije i perimetra", primijetio je. "Visoki zidovi i jedna velika stvar: oni jednostavno ne rade."

Da bi dobili pristup mreži, stari aspekt sigurnosti koristio je usmjerivače, kaže Danny Kibel, novi izvršni direktor tvrtke Idaptive, tvrtke za upravljanje identitetom koja se izdvaja iz tvrtke Centrify. Prije nulta povjerenja, tvrtke bi provjerile, a zatim pouzdale. Ali s Nultom Trustom "uvijek provjeravate, nikada ne vjerujte", objasnio je Kibel.

Idaptive nudi platformu Access-Next Next Gen koja uključuje Single Sign-On (SSO), prilagodljivu višefaktornu provjeru identiteta (MFA) i upravljanje mobilnim uređajima (MDM). Usluge poput Idaptive pružaju način stvaranja nužno detaljnih kontrola pristupa. Možete odrediti ili ukinuti način na temelju kome je potreban pristup različitim aplikacijama. "To daje onu sitnu mogućnost organizacije da kontrolira svoj pristup", rekao je Kibel. "A to je vrlo važno za organizacije koje vidimo jer postoji mnogo širenja u smislu neovlaštenog pristupa."

Kibel je definirao Idaptive pristup Zero Trustu s tri koraka: provjeri korisnika, provjeri njegov uređaj i tek tada omogući pristup aplikacijama i uslugama samo tom korisniku. "Imamo više vektora za procjenu ponašanja korisnika: lokaciju, geografsku brzinu, doba dana, doba tjedna, koju vrstu aplikacije koristite, pa čak i u nekim slučajevima kako upotrebljavate tu aplikaciju", rekao je Kibel, Neadaptivni prati uspješne i neuspjele pokušaje prijave da vidi kada treba ponovno izabrati provjeru autentičnosti ili potpuno blokirati korisnika.

30. listopada Centrify je uveo pristup cyber-sigurnosti nazvan Zero Trust Privilege u kojem tvrtke daju najmanje potreban privilegirani pristup i provjeravaju tko to traži. Četiri koraka postupka Zero Trust Privilege uključuju provjeru korisnika, uvid u kontekst zahtjeva, osiguranje okruženja administratora i odobravanje najmanjeg potrebnog broja privilegija. Centrifyjev pristup Zero Trust Privilege uključuje postupni pristup smanjenju rizika. Donosi i prijelaz s naslijeđenog privilegiranog upravljanja pristupom (PAM), softvera koji omogućuje tvrtkama ograničavanje pristupa novijim vrstama okruženja, poput platformi za pohranu u oblaku, velikim projektima podataka, pa čak i naprednim prilagođenim projektima za razvoj aplikacija koji se izvode na webu poslovne vrijednosti ugostiteljski objekti.

Model Zero Trust pretpostavlja da hakeri već pristupaju mreži, rekao je Tim Steinkopf, predsjednik Centrifyja. Strategija za borbu protiv ove prijetnje bilo bi ograničenje bočnog kretanja i primjena MFA-a svugdje, prema Steinkopf-u. "Kad god netko pokušava pristupiti povlaštenom okruženju, morate odmah imati prave vjerodajnice i pravi pristup", rekao je Steinkopf za PCMag. "Način da se to provede jeste objedinjavanje identiteta, a zatim vam je potreban kontekst zahtjeva, što znači tko, što, kada, zašto i gdje." Nakon toga odobravate samo potrebnu količinu pristupa, rekao je Steinkopf.

"Vi uzimate kontekst korisnika, u kojem slučaju to bi mogao biti liječnik, to bi mogla biti medicinska sestra ili neka druga osoba koja pokušava pristupiti podacima", rekao je Dubinski. "Uzimate kontekst uređaja s kojeg rade, uzimate kontekst datoteke kojoj pokušavaju pristupiti i na temelju toga morate donijeti odluku o pristupu."

MVP, nulta povjerenja i najbolje prakse

Ključni aspekt modela Zero Trust je snažna provjera autentičnosti, a omogućavanje više faktora provjere autentičnosti dio je toga, napomenuo je Hed Kovetz, predsjednik Uprave i suosnivač Silverforta, koji nudi rješenja za MFA. S nedostatkom oboda u doba oblaka, postoji veća potreba za autentifikacijom nego ikad. "Sposobnost da se napravi MFA bilo što gotovo je osnovni zahtjev Zero Trust-a, a to je danas nemoguće jer Zero Trust dolazi iz ideje gdje više nema perimetara", rekao je Kovetz za PCMag na HIP2018. "Dakle, sve se povezuje s bilo čim, a u ovoj stvarnosti nemate pristupnik na koji možete primijeniti kontrolu."

Forrester's Cunningham zacrtao je strategiju pod nazivom Zero Trust eXtended (XTX) za mapiranje odluka o kupnji tehnologije na strategiju Zero Trust. "Doista smo pogledali sedam elemenata kontrole koji vam trebaju za sigurno upravljanje sigurnošću", rekao je Cunningham. Sedam stupova su automatizacija i orkestracija, vidljivost i analitika, radno opterećenje, ljudi, podaci, mreže i uređaji. Da bi bio platforma ZTX, sustav ili tehnologija trebala bi imati tri takva stupa, zajedno s mogućnostima programskog sučelja (API) programiranja. Nekoliko proizvođača koji nude sigurnosna rješenja uklapaju se u različite stupove okvira. Centrify nudi proizvode koji se bave sigurnošću ljudi i uređaja, Palo Alto Networks i Cisco nude rješenja za umrežavanje, a rješenja IBM Security Guardium usmjerena su na zaštitu podataka, napomenuo je Cunningham.

Model Zero Trust također bi trebao uključivati ​​šifrirane tunele, prometni oblak i enkripciju na temelju certifikata, rekao je Steinkopf. Ako putem Interneta šaljete podatke s iPada, tada želite provjeriti ima li primatelj pravo na pristup, objasnio je. Primjena novih tehnoloških trendova kao što su spremnici i DevOps može pomoći u borbi protiv privilegirane zloupotrebe vjerodajnica, prema Steinkopf. Također je opisao računalstvo u oblaku koje su na čelu strategije Zero Trust.

Dubinskiky Luminate pristaje. Za male i srednje tvrtke, skretanje na cloud tvrtku koja pruža upravljanje identitetom ili MFA kao uslugu preuzima ove sigurnosne odgovornosti tvrtkama koje su se specijalizirale za to područje. "Želite što više prebaciti na tvrtke i ljude koji su odgovorni za njihov svakodnevni posao", rekao je Dubinski.

Potencijal okvira Nulta povjerenja

Iako su stručnjaci priznali da se tvrtke okreću modelu Zero Trust, osobito u upravljanju identitetom, neke ne vide potrebu za velikim promjenama u sigurnosnoj infrastrukturi kako bi se usvojio Zero Trust. "Nisam siguran da je to strategija koju bih danas želio usvojiti na bilo kojoj razini", rekao je Sean Pike, potpredsjednik programa za IDC-ovu grupu sigurnosnih proizvoda. "Nisam siguran da izračun ROI postoji u vremenskom okviru koji ima smisla. Postoji niz arhitektonskih promjena i kadrovskih pitanja za koja mislim da trošak čine kao zabranu strategije."

Međutim, Pike vidi potencijal Zero Trust u telekomunikacijama i IDM-u. "Mislim da danas postoje komponente koje se danas lako mogu usvojiti i koje neće zahtijevati veleprodajne promjene arhitekture - na primjer identitet", rekao je Pike. "Iako su povezani, moj snažni osjećaj je da usvajanje nije nužno strateški pomak prema Zero Trustu, već prije pokušaj da se adresira na nove načine na koji se korisnici povezuju i potrebu da se odmaknu od sustava temeljenih na lozinki i poboljšaju upravljanje pristupom", Pike objasnio je.

Iako Zero Trust može biti protumačen kao pomalo marketinški koncept koji ponavlja neka od standardnih načela kibernetičke sigurnosti, poput nepovjerenja sudionicima u vašu mrežu i potrebe za provjerom korisnika, prema mišljenju stručnjaka, ona služi kao svrha plana igre, "Veliki sam zagovornik Zero Trust-a, da se krenem prema toj jedinstvenoj, strateškoj vrsti mantre i borim se za to unutar organizacije", rekao je Forrester-ov Cunningham.

Ideje Zero Trust koje je Forrester uveo 2010. nisu nove u industriji kibernetičke sigurnosti, napomenuo je John Pescatore, direktor novih trendova sigurnosnih trendova u SANS Institutu, organizaciji koja pruža sigurnosnu obuku i certificiranje. "To je prilično standardna definicija kibernetičke sigurnosti - pokušajte osigurati sve sigurno, segmentirajte mrežu i upravljajte povlasticama korisnika", rekao je.

Pescatore je napomenuo da je oko 2004. godine sada već pokvarena sigurnosna organizacija pod nazivom Jericho Forum uvela slične ideje kao i Forrester o "sigurnosti bez perimetra" i preporučio je samo dopuštanje veza s pouzdanom vezom. "To je poput riječi:" Pomaknite se negdje na kojem nema kriminalaca i savršenog vremena, a na kući vam ne trebaju ni krov ni vrata ", rekao je Pescatore. "Zero Trust se barem vratio u zdrav razum segmentiranja - uvijek se segmentirate s interneta po obodu."

• Izvan perimetra: Kako se obratiti slojevitoj sigurnosti izvan perimetra: Kako se obratiti slojevitoj sigurnosti
• NYC Venture nastoji potaknuti posao, inovacije u cyber-sigurnosti NYC Venture teži poticanju poslova, inovacijama u cyber-sigurnosti.
• Kako se pripremiti za sljedeću povredu sigurnosti Kako se pripremiti za sljedeću povredu sigurnosti?

Kao alternativa modelu Zero Trust, Pescatore je preporučio slijediti kritične sigurnosne kontrole Centra za internetsku sigurnost. Na kraju, Zero Trust zasigurno može donijeti koristi uprkos buci. No, kao što je Pescatore napomenuo, bilo da se zove Zero Trust ili nešto treće, ova vrsta strategije još uvijek zahtijeva osnovnu kontrolu.

"To ne mijenja činjenicu da, da biste zaštitili posao, morate razviti osnovne sigurnosne higijenske postupke i kontrole, kao i imati kvalificirano osoblje koje će ih nastaviti učinkovito i djelotvorno", rekao je Pescatore. To je više od financijskog ulaganja za većinu organizacija, a za uspjeh će se morati usredotočiti jedne tvrtke.